Ein Leitfaden zu kryptografischen Hashfunktionen (Teil 2)

von Rob Sobers Im ersten Teil dieser Artikelserie habe ich über die Verwendung von kryptografischen Hashfunktionen zur Verschlüsselung von Passwörtern gesprochen. Ich habe darauf hingewiesen, warum es so wichtig ist, dass sich die...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

von Rob Sobers

Im ersten Teil dieser Artikelserie habe ich über die Verwendung von kryptografischen Hashfunktionen zur Verschlüsselung von Passwörtern gesprochen. Ich habe darauf hingewiesen, warum es so wichtig ist, dass sich die in Klartext eingegebenen Werte nicht anhand eines Hashwerts rekonstruieren lassen. Das war die goldene Regel Nr. 1, die sogenannte Pre-Image Resistance bzw. Urbildresistenz.

Wenn Hashwerte nicht rekonstruiert werden können, warum hören wir trotzdem ständig von Passwörtern, die geknackt werden? Und warum wird uns immer gesagt, dass unsere Passwörter möglichst komplex und schwer nachvollziehbar sein müssen?

Ist die Länge des Passworts wirklich wichtig?

In Teil 1konnte man sehen, dass „dog“ und „the eagle flies at midnight“ MD5-Hashwerte mit derselben Länge erzeugt haben. Darüber hinaus ist es ebenso schwierig, die beiden Hashwerte zu rekonstruieren. Also was macht ein schwaches Passwort nun eigentlich schwach? Die Antwort: Brute-Force-Angriffe.

Statt den Hashwert eines Passworts zu rekonstruieren, kann ich einfach verschiedene Eingabewerte (also Passwörter) ausprobieren, bis ich einen gefunden habe, der mit dem Hashwert des hinterlegten Passworts übereinstimmt. (Zur Erinnerung: Die Hash-Algorithmen sind alle öffentlich zugänglich.) Dieses Ausprobieren von möglichen Passwörtern wird als Brute-Force-Angriffe bezeichnet – eine Methode, die gerade beim Knacken von schwachen Passwörtern äußerst effektiv sein kann. (Da ich ein Gedächtnis wie ein Sieb habe, wende ich diese Methode fast jeden Tag an, um auf den vierstelligen Code meiner Garagentür zu kommen.)

Für ein schwaches Passwort, das aus nur drei Kleinbuchstaben besteht (z. B. „dog“), braucht man höchstens 17.576 Versuche, um eine Übereinstimmung zu finden. Ein Hacker kann die Anzahl der auszuprobierenden Passwörter weiter reduzieren, indem er die Möglichkeiten, wie z. B. Wörter mit drei Zeichen, auf Einträge aus einem Wörterbuch eingeschränkt („dog“ wird ausprobiert, aber nicht „fgz“). Diese Methode wird demzufolge als Wörterbuchangriffbezeichnet.

Besteht ein Passwort nun aber aus acht alphanumerischen Zeichen mit Klein- und Großschreibung (z. B. „d0G5Fr0g“), muss der Hacker möglicherweise 218.340.105.584.896-Versuche starten. Nein danke!

Rainbow Table

Millionen und Abermillionen von Passwort-Hashwerten zu erstellen, kann zeitaufwendig und rechenintensiv sein. Aus diesem Grund greifen Hacker gelegentlich auf sogenannte Rainbow Tableszurück. Hierbei handelt es sich um ellenlange, vordefinierte Hashlisten mit allen möglichen Zeichenkombinationen, die das Knacken von Passwörtern beschleunigen.

Das Anfertigen der „Regenbogentabellen“ nimmt viel Zeit in Anspruch. Sind sie aber einmal erstellt (wie beispielsweise auf freerainbowtables.com), können sie Hackern dabei helfen, innerhalb nur weniger Sekunden das Urbild eines gegebenen Hashwerts herauszufinden. Ohne diese Listen könnte das Berechnen der Hashwerte Stunden, Tage oder gar Monate dauern.

Spätestens jetzt müsste jedem klar sein, dass je komplexer ein Passwort ist, desto geringer die Wahrscheinlichkeit, dass es in einem Rainbow Table enthalten ist. Die effektivsten bereitgestellten Tabellen sind die, die Hashwerte von häufig verwendeten Wörterbucheinträgen enthalten. Das heißt also, Passwörter sollten niemals Wörter aus einem Wörterbuch sein!

Wenn es also Brute-Force-Angriffe und Rainbow Tables gibt, bedeutet das nicht, dass wir alle einem Hacker zum Opfer fallen könnten? Nur keine Angst! Im Teil 3 werde ich auf eine würzige Lösung eingehen: Salt.

Fotoquelle: Jeremy Thompson

 

The post Ein Leitfaden zu kryptografischen Hashfunktionen (Teil 2) appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

schwachstellen-in-kerberos:-pass-the-ticket-angriffe,-eine-echte-bedrohung
Schwachstellen in Kerberos: Pass-the-Ticket-Angriffe, eine echte Bedrohung
August ist ein guter Zeitpunkt, um Schattenseiten zu erforschen. Anfang des Monats fand die jährliche Black-Hat-Konferenz statt, auf der stets interessante Vorträge gehalten werden. Ich habe erst kürzlich über Kerberos...
„pass-the-hash“-angriffe-genauer-betrachtet-,-teil-1
„Pass the Hash“-Angriffe genauer betrachtet , Teil 1
Wir haben an dieser Stelle schon häufiger vor grundsätzlichen Passwort-Attacken gewarnt. Man kann jedoch eine Reihe von Vorsichtsmaßnahmen ergreifen, welche die Erfolgschancen solcher Attacken wenigstens mindern. Dazu gehört es beispielsweise,...
„pass-the-hash“-angriffe-genauer-betrachtet,-teil-3
„Pass the Hash“-Angriffe genauer betrachtet, Teil 3
Beim Thema „Pass the Hash“ sollte man sich unbedingt in Erinnerung rufen, dass die im Speicher abgelegten (und von Hackern entwendeten) Passwort-Hashes aufgrund von Single Sign On’s existieren. Die meisten...
aktuelle-analyse-der-finra-zu-cyberkriminalität
Aktuelle Analyse der FINRA zu Cyberkriminalität
Ein Hacker-Diebstahl von Passwörtern, Kreditkarten- und Sozialversicherungs-nummern kann zu immensen finanziellen Verlusten führen. Doch sehen wir uns ein Worst-Case-Szenario an: Was passiert, wenn Hacker sich Zugang zu unseren Renten- und...