Paßwortknacken als Geschäftsmodell

Das "Google der Paßwörter" will Unternehmen "Rainbowcrack Online" werden. Nach einer kostenpflichtigen Anmeldung kann man dem Dienst ein gewisses Kontingent an Paßwort-Hashes übergeben - und erhält kurze Zeit später die korrespondierenden Paßwörter per Mail.

Wie der Firmenname bereits vermuten läßt, werden hierzu "Rainbow Tables" eingesetzt - nach einem bestimmten Verfahren vorberechnete Hashtabellen, um so die benötigte Analysezeit zu reduzieren (Time-Memory-Tradeoff).
Auf der einen Seite ist so ein Dienst zumindest moralisch fraglich - wer zahlt Geld für das Brechen von Paßwörtern, ohne dabei dubiose Hintergedanken zu hegen? Auf der anderen Seite sollte das endgültig klarmachen, daß Rainbow Tables längst keine rein theoretische Bedrohung mehr darstellen; Kryptoverfahren müssen entsprechend implementiert werden, Paßworthashes ohne Salt sind ein Tabu - so jedenfalls das Fazit eines Berichtes bei Securityfocus:
"Remember that rainbow tables only work for inferior functions that use no salt or initialization vector (...) If programmers were more careful, there would be no market for a rainbow Google."

comments powered by Disqus