Angriffe und Bedrohungen
Rainbow-Table-Angriff
Auch bekannt als: Speicher-Zeit-Tradeoff
Definition
Vorberechnungsangriff, der mit kompakt gespeicherten Ketten aus alternierenden Hash- und Reduktionsfunktionen ungesalzene Passwort-Hashes deutlich schneller als Brute Force umkehrt.
Beispiele
- Knacken ungesalzener MD5/SHA-1-Passwortdatenbanken mit öffentlichen Rainbow Tables.
- Wiederherstellen von NTLM-Hashes bis zu einer bestimmten Länge mit ophcrack-Tabellen.
Verwandte Begriffe
Wörterbuchangriff
Gezielter Passwort-Rateversuch, der Einträge aus einer vorgefertigten Liste wahrscheinlicher Wörter, geleakter Passwörter und regelbasiert variierter Formen probiert.
Brute-Force-Angriff
Angriff, der systematisch jeden möglichen Wert – typischerweise Passwörter, PINs oder Schlüssel – ausprobiert, bis der richtige gefunden ist.
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
Salt
Ein einzigartiger Zufallswert, der einem Passwort vor dem Hashen beigemischt wird, um Rainbow Tables zu verhindern und jeden Benutzer-Hash einzigartig zu machen.
Argon2
Moderne speicherharte Passwort-Hash- und Schlüsselableitungsfunktion, Sieger der Password Hashing Competition 2015 und in RFC 9106 spezifiziert.
Kryptographische Hashfunktion
Deterministische Einwegfunktion, die Eingaben beliebiger Länge auf einen festen Digest abbildet und gegen Urbilder, zweite Urbilder und Kollisionen resistent ist.