Paßwortknacken als Geschäftsmodell

Das "Goog­le der Paß­wör­ter" will Un­ter­neh­men "Rain­bow­crack On­line" wer­den. Nach einer kos­ten­pflich­ti­gen An­mel­dung kann man dem Dienst ein ge­wis­ses Kon­tin­gent an Paß­wort-Has­hes über­ge­ben - und er­hält kurze Zeit spä­ter die kor­re­spon­die­ren­den Paß­wör­ter per Mail.

Wie der Fir­men­na­me be­reits ver­mu­ten läßt, wer­den hier­zu "Rain­bow Ta­bles" ein­ge­setzt - nach einem be­stimm­ten Ver­fah­ren vor­be­rech­ne­te Hash­ta­bel­len, um so die be­nö­tig­te Ana­ly­se­zeit zu re­du­zie­ren (Ti­me-Me­mo­ry-Tra­de­off).
Auf der einen Seite ist so ein Dienst zu­min­dest mo­ra­lisch frag­lich - wer zahlt Geld für das Bre­chen von Paß­wör­tern, ohne dabei du­bio­se Hin­ter­ge­dan­ken zu hegen? Auf der an­de­ren Seite soll­te das end­gül­tig klar­ma­chen, daß Rain­bow Ta­bles längst keine rein theo­re­ti­sche Be­dro­hung mehr dar­stel­len; Kryp­to­ver­fah­ren müs­sen ent­spre­chend im­ple­men­tiert wer­den, Paß­wort­has­hes ohne Salt sind ein Tabu - so je­den­falls das Fazit eines Be­rich­tes bei Se­cu­ri­ty­fo­cus:
"Re­mem­ber that rain­bow ta­bles only work for in­fe­ri­or func­tions that use no salt or in­itia­liza­t­i­on vec­tor (...) If pro­gramm­ers were more ca­re­ful, there would be no mar­ket for a rain­bow Goog­le."