Wie heise online heute berichtet, bietet die Firma RainbowCrack Online nun für den monatlichen Obulus von 30 US-Dollar die Entschlüsselung bis zu acht Zeichen langer Passwörter der Hash-Algorithmen MD5, IBM Lan Manager, SHA1, Cisco Pix, NTLM, MySQL-323 und MD4 an.
Für das Knacken werden sogenannte Rainbow-Tabellen verwendet, etliche GByte große Datensammlungen mit Zwischenergebnissen die somit als Kompromiss zwischen Rechenaufwand und Speicherplatzbedarf dienen und eine Lieferung der Klartextpasswörter in Zeiträumen zwischen 11 Minuten (Firewall Cisco Pix) und achtzig Minuten (IBM Lan Manager und bis zu siebenstellige alphanumerische Passwörter mit Sonderzeichen) ermöglichen.
Da moderne Hash-Algorithmen heutzutage die Klartext-Passwörter um zufällige und unterschiedlich lange Zeichenfolgen ergänzen (sogenanntes Salt – Salz), sind damit aber nicht automatisch alle Hashes in Gefahr. Dennoch eine interessante Entwicklung, denn wenn man sich mal überlegt, wie schnell man solche Rainbow-Tabellen mit Distributed Computing füttern kann, dauert es sicher nicht mehr lange, und dann sind auch längere Kennwörter nicht mehr per Default als sicher einzustufen.
1 Kommentar
Manu sagt:
11.11.2005 von 19:38 (UTC 0 )
Das ist in der Tat ein Hammer. Das IPB2 Forum speichert beispielsweise das MD5-Passwort nochmals gehasht ab.
Fraglich finde ich, wie lange sich diese Firma in einer offensichtlichen rechtlichen Grauzone behaupten kann.