Beliebte Beiträge Auf Dem Pc Und Software

Top Artikel Auf Internet - 2018

Rainbow Tables: Der schlimmste Albtraum deines Passworts

Auch wenn Sie Rainbow Tables als farbenfrohe, farbenfrohe Möbel betrachten, werden wir diese nicht diskutieren. Die Rainbow Tables, von denen wir sprechen, werden benutzt, um Passwörter zu knacken und sind ein weiteres Werkzeug im immer größer werdenden Arsenal des Hackers.

Was zum Teufel sind Rainbow Tables? Wie könnte etwas mit so einem süßen und knuddeligen Namen so schädlich sein?

Das Grundkonzept hinter Rainbow Tables

Ich bin ein schlechter Typ, der gerade einen USB-Stick in einen Server oder eine Workstation gesteckt, neu gestartet und gestartet hat ein Programm, das die Sicherheitsdatenbankdatei mit Benutzernamen und Passwörtern auf mein USB-Stick kopiert.

Die Passwörter in der Datei sind verschlüsselt, so dass ich sie nicht lesen kann. Ich werde die Passwörter in der Datei (oder zumindest das Administrator-Passwort) knacken müssen, damit ich sie benutzen kann, um auf das System zuzugreifen.

Welche Möglichkeiten gibt es, um Passwörter zu knacken? Ich kann versuchen, ein Brute-Force-Passwort-Cracking-Programm wie John the Ripper zu verwenden, der an der Passwort-Datei pocht und versucht, jede mögliche Kombination eines Passwortes iterativ zu erraten. Die zweite Möglichkeit besteht darin, ein Passwort-Cracking-Wörterbuch zu laden, das Hunderttausende von häufig verwendeten Passwörtern enthält, und zu sehen, ob es Treffer gibt. Diese Methoden können Wochen, Monate oder sogar Jahre dauern, wenn die Passwörter stark genug sind.

Wenn ein Passwort gegen ein System "versucht" wird, wird es mit Verschlüsselung verschlüsselt, so dass das eigentliche Passwort niemals im Klartext gesendet wird die Kommunikationslinie. Dies verhindert, dass Lauscher das Passwort abfangen. Der Hash eines Kennworts sieht normalerweise wie ein Haufen Müll aus und hat normalerweise eine andere Länge als das ursprüngliche Kennwort. Ihr Passwort könnte "shitzu" lauten, aber der Hash Ihres Passworts würde ungefähr wie "7378347eedbfdd761619451949225ec1" aussehen.

Um einen Benutzer zu verifizieren, nimmt ein System den Hash-Wert, der durch die Passwort-Hashfunktion auf dem Client-Computer erstellt wurde, mit dem Hash-Wert, der in einer Tabelle auf dem Server gespeichert ist. Wenn die Hashes übereinstimmen, wird der Benutzer authentifiziert und erhält den Zugriff.

Das Hacken eines Passworts ist eine 1-Weg-Funktion, was bedeutet, dass Sie den Hash nicht entschlüsseln können, um zu sehen, wie der Klartext des Passworts lautet. Es gibt keinen Schlüssel, um den Hash zu entschlüsseln, sobald er erstellt wurde. Es gibt keinen "Decoder-Ring", wenn Sie so wollen.

Passwort-Knack-Programme funktionieren ähnlich wie der Login-Vorgang. Das Cracking-Programm beginnt damit, Klartext-Passwörter zu nehmen, sie durch einen Hash-Algorithmus wie MD5 laufen zu lassen und vergleicht dann die Hash-Ausgabe mit den Hashes in der gestohlenen Passwort-Datei. Wenn es eine Übereinstimmung findet, hat das Programm das Passwort geknackt. Wie bereits erwähnt, kann dieser Prozess sehr lange dauern.

Geben Sie die Rainbow-Tabellen ein

Rainbow-Tabellen sind im Wesentlichen riesige Mengen vorberechneter Tabellen, die mit Hash-Werten gefüllt sind, die vor möglichen Klartext-Passwörtern stehen. Die Rainbow Tables erlauben Hackern im Wesentlichen, die Hashing-Funktion umzukehren, um zu bestimmen, was das Klartext-Passwort sein könnte. Es ist möglich, dass zwei verschiedene Passwörter zu demselben Hash führen, so dass es nicht wichtig ist herauszufinden, wie das ursprüngliche Passwort war, solange es den gleichen Hashwert hat. Das Klartext-Passwort ist möglicherweise nicht das gleiche Passwort, das vom Benutzer erstellt wurde, aber solange der Hash-Wert übereinstimmt, ist es egal, welches das ursprüngliche Passwort war.

Die Verwendung von Rainbow-Tabellen ermöglicht Passwörter in sehr kurzer Zeit im Vergleich zu Brute-Force-Methoden geknackt werden, jedoch ist der Kompromiss, dass es eine Menge Speicher (manchmal Terabyte) benötigt, um die Rainbow Tables selbst zu halten, Lagerung in diesen Tagen ist reichlich und billig, so dass dies Der Kompromiss ist nicht so groß wie vor zehn Jahren, als Terabyte-Laufwerke nicht beim lokalen Best Buy erhältlich waren.

Hacker können vorberechnete Rainbow Tables kaufen, um Passwörter von anfälligen Betriebssystemen wie Windows XP, Vista, Windows 7 und Anwendungen mit MD5 und SHA1 als Kennwort-Hashing-Mechanismus zu knacken (viele Web-Anwendungsentwickler verwenden diese Hashing-Algorithmen weiterhin).

Wie um sich vor Rainbow Tables-basierten Passwortattacken zu schützen

Wir wünschten, es gäbe bessere Ratschläge für alle. Wir würden gerne sagen, dass ein stärkeres Passwort helfen würde, aber das ist nicht wirklich wahr, weil es nicht die Schwäche des Passworts ist, sondern die Schwachstelle, die mit der Hash-Funktion zum Verschlüsseln eines Passworts verbunden ist.

Das Beste Beratung, die wir den Benutzern geben können, ist weg von Web-Anwendungen, die Ihre Passwortlänge auf eine kurze Anzahl von Zeichen beschränken. Dies ist ein deutliches Zeichen für verwundbare Old-School-Passwort-Authentifizierungsroutinen. Erweiterte Passwortlänge und -komplexität können ein wenig helfen, sind aber keine garantierte Form des Schutzes. Je länger dein Passwort ist, desto größer müssen die Rainbow Tables sein, um es zu knacken, aber ein Hacker mit vielen Ressourcen kann dies trotzdem erreichen.

Senden Sie Ihren Kommentar