[Master Joda]

Bin gerade auf einen Artikel über das Thema Rainbow-Tables gestossen.

Als eine kleine Gegenmassnahme wird da empfohlen die LAN-Manager-Hashwerte in den lokalen Sicherheitsrichtlinien zu deaktivieren. Doch unter Windows XP Home finde ich die lokalen Sicherheitsrichtlinien nicht. Gibt es trotzdem eine Möglichkeit ?

Ausserdem wird empfohlen das Passwort länger als 14 Zeichen zu machen, da der Hash-Wert unter Windows nur für die 14 Zeichen ermittelt wird (wenn ich das jetzt richtig verstanden hab). Allerdings sind längere wohl mittlerweile auch schon knackbar.

Gibt es sonst noch Tipps zum Thema Passwort ?


Nebenbei würde mich intressieren ob man in Vista die Salt-Technik eingebaut hat ?

Dieser Beitrag wurde von Master Joda bearbeitet: 08. Oktober 2006 - 12:03

[conny83]

zum thema passwort im allgemeinem:

0123456789
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ

und einige Sonderzeichen

das sind die zeichen die mensch verwenden sollte.
am besten mind 9 Zeichen lang und dann irgendwie nen passwort wie:

Be3g7Gh2j
keine angst, das ich net mein PW ^^

rein rechnerisch hast du bei 62 zeichen (kannst ja mal alle zeichen zählen oben ^^) und ein 9 zeichenlanges PW kombinationsmöglichkeiten von:
13.537.086.546.263.600
auch wenns knackbar ist, nen normaler heimuser braucht ne weile um daran zu kommen ^^

wenn ich richtig gerechnet hab ^^

[markus_83_nrw]

Naja ich habe eine etwas andere zahl raus!

Aber grundsätzlich gilt, dass kennwörter länger als 5 zeichen lang sein sollten sowie alphanummerisch (also Zahlen und Buchstaben) und sonderzeichen enthalten sollen.

aber rechne es dir mal selber aus.

54 = Alphabet (Groß- und Kleinschreibung)
10 = Zahlen von 0-9
31 Sonderzeichen auf der Tastatur (hoffentlich habe ich mich nicht verzählt)

Ergibt:
2*26+10+31 = 93

diese 93 hoch die länge des Passwortes (beispielsweise Be3g7Gh2j <- 9 Zeichen)
Ergibt:
520.411.082.988.487.293 mögliche kombinationen.

Um die Zeitauszurechen rechnet man:
520.411.082.988.487.293/60/60/24/364 <- Sekunden in einer min./Minuten in einer std./Stunden am tag/Tage im Jahr

Ergibt:
16.547.462.702 Jahre (direkt aufgerundet)

Und jetzt sach bitte nicht, dass das kennwort unsicher ist. Ich bin Übrigens davon ausgegangen, dass der oder das jenige ein kennwort in einer Sekunde eingeben kann.

Rein rechnerisch natürlich
Selbst wenn man davon ausgeht, dass das passwort in der hälfte der Zeit geknackt wird ist es immernoch ewig lange.

Gruß Markus

P.S.: Korigiert mich bitte wenn ich falsch liege.

[Rika]

Also per Default, d.h. wenn nicht anders konfiguriert, erstellt Windows bei Passwörter bis 14 Zeichen ohne Sonderzeichen neben dem NTLM-Hash auch noch den alten LM-Hash, wie er für Windows-Netzwerke mit Windows 9x/ME und NT4 benötigt wird. Gelingt es jemanden, diesen Hash auszulesen (dazu braucht man Adminrechte), dann kann er damit das Passwort berechnen und es, wenn es irgendwo anders auch verwendet wird, gegebenenfalls zum weiteren Missbrauch nutzen.

Also: schalt das einfach ab, gib das Passwort neu ein und schon ist der LM-Hash aus der Benutzerdatenbank verschwunden.

Und ja, der LM-Hash ist schwach. Man kann die 14 Zeichen in 2*7 Zeichen runterbrechen, die jeweils maximal 56 Bit Sicherheit bieten - und mit Rainbow Tables ist das ein Klacks, aber ohne auch nicht sonderlich viel schwieriger.

Gegen NTLM-Hashes kann man auch Rainbow Tables bauen, aber das sollte gegen ein starkes Passwort genau gar nix helfen.


Generell hilft das nicht direkt gegen Rainbow Tables, da man diese ja bei non-salted Hashes immer erstellen kann, sondern macht deren Ansatz so unwirksam wie andere Ansätze auch. Nur eine Änderung des Hash-Verfahrens selbst würde ABhilfe schaffen.


Übrigens, das alles wurde schon in Windows - Sicher Konfiguriert! geklärt.


@markus_83_nrw:
Was für eine Schwachsinnsrechnung, du gehst nämlich davon aus, daß man pro Sekunde nur ein Passwort probieren könnte. Selbst mein Rechner schafft mehrere tausend, dedizierte Maschinen schaffen Milliarden, und 1000 dedizierte Maschinen schaffen das ganze dann in 6 Tagen.

Dieser Beitrag wurde von Rika bearbeitet: 11. Oktober 2006 - 13:41