Der Passwortschutz ist eine effiziente Zugangskontrolltechnik, die wir alle täglich verwenden. Es wird wahrscheinlich noch viele Jahre eine wichtige Säule der Cybersicherheit bleiben.
Cyberkriminelle hingegen wenden verschiedene Methoden an, um Passwörter zu knacken und sich unbefugten Zugriff zu verschaffen. Dies schließt Rainbow-Table-Angriffe ein. Aber was sind Rainbow-Table-Angriffe und wie gefährlich sind sie? Noch wichtiger, was können Sie tun, um sich davor zu schützen?
Wie werden Passwörter gespeichert?
Keine Plattform oder Anwendung, die Sicherheit ernst nimmt, speichert Passwörter im Klartext. Das heißt, wenn Ihr Passwort „passwort123“ lautet (und das aus naheliegenden Gründen auf keinen Fall sein sollte), wird es nicht als solches gespeichert, sondern als Kombination aus Buchstaben und Zahlen.
Dieser Prozess der Umwandlung von Klartext in eine scheinbar zufällige Kombination von Zeichen wird als Passwort-Hashing bezeichnet. Und
Passwörter werden gehasht mit Hilfe von Algorithmen, automatisierten Programmen, die mathematische Formeln verwenden, um Klartext zu randomisieren und zu verschleiern. Einige der bekanntesten Hashing-Algorithmen sind: MD5, SHA, Whirlpool, BCrypt und PBKDF2.Also, wenn Sie das Passwort "password123" nehmen und es durch den laufen lassen MD5-Algorithmus, das erhalten Sie: 482c811da5d5b4bc6d497ffa98491e38. Diese Zeichenkette ist die gehashte Version von „password123“ und das Format, in dem Ihr Passwort online gespeichert wird.
Angenommen, Sie melden sich bei Ihrem E-Mail-Konto an. Sie geben Ihren Benutzernamen oder Ihre E-Mail-Adresse und dann das Passwort ein. Der E-Mail-Anbieter wandelt den von Ihnen eingegebenen Klartext automatisch in seinen Hash-Wert um und vergleicht ihn mit dem Hash-Wert, den er ursprünglich gespeichert hatte, als Sie Ihr Passwort zum ersten Mal eingerichtet haben. Wenn die Werte übereinstimmen, werden Sie authentifiziert und erhalten Zugriff auf Ihr Konto.
Wie würde sich dann ein typischer Rainbow-Table-Angriff entwickeln? Der Angreifer müsste sich zunächst Passwort-Hashes beschaffen. Dazu würden sie eine Art Cyberangriff durchführen oder einen Weg finden, die Sicherheitsstruktur einer Organisation zu umgehen. Oder sie würden eine Müllhalde kaufen gestohlene Hashes im Dark Web.
Wie Rainbow-Table-Angriffe funktionieren
Der nächste Schritt wäre die Umwandlung der Hashes in Klartext. Offensichtlich würde der Angreifer bei einem Rainbow-Table-Angriff dies mithilfe einer Rainbow-Table tun.
Rainbow Tables wurden vom IT-Experten Philippe Oechslin erfunden, dessen Arbeit auf der Forschung des Kryptologen und Mathematikers Martin Hellman basierte. Benannt nach den Farben, die verschiedene Funktionen innerhalb eines Tisches darstellen, verkürzen Regenbogentische die Zeit benötigt, um einen Hash in Klartext umzuwandeln, wodurch der Cyberkriminelle den Angriff weiter ausführen kann effizient.
In einem gewöhnlichen Brute-Force-Angriff, müsste der Angreifer beispielsweise jedes gehashte Passwort separat entschlüsseln, Tausende von Wortkombinationen berechnen und sie dann vergleichen. Diese Trial-and-Error-Methode funktioniert immer noch und wird es wahrscheinlich immer tun, erfordert jedoch viel Zeit und enorme Rechenleistung. Aber bei einem Rainbow-Table-Angriff müsste ein Angreifer nur einen erhaltenen Passwort-Hash durch eine Datenbank mit Hashes laufen lassen, ihn dann wiederholt aufteilen und reduzieren, bis Klartext aufgedeckt wird.
Kurz gesagt, so funktionieren Rainbow-Table-Angriffe. Nach dem Knacken eines Passworts hat ein Angreifer unzählige Möglichkeiten, wie er vorgehen kann. Sie können ihr Opfer auf verschiedene Weise angreifen und sich unbefugten Zugriff auf alle Arten von sensiblen Daten verschaffen, einschließlich Informationen im Zusammenhang mit Online-Backen und dergleichen.
So schützen Sie sich vor Rainbow-Table-Angriffen
Rainbow-Table-Angriffe sind nicht mehr so häufig wie früher, aber sie stellen immer noch eine erhebliche Bedrohung für Unternehmen jeder Größe und auch für Einzelpersonen dar. Glücklicherweise gibt es Möglichkeiten, sich davor zu schützen. Hier sind fünf Dinge, die Sie tun können, um einen Rainbow-Table-Angriff zu verhindern.
1. Komplexe Passwörter einrichten
Die Verwendung langer, komplexer Passwörter ist ein absolutes Muss. Ein gutes Passwort sollte einzigartig sein und Klein- und Großbuchstaben, Zahlen und Sonderzeichen enthalten. Die meisten Plattformen und Apps verlangen heutzutage ohnehin, dass Benutzer dies tun, also stellen Sie sicher, dass Sie dies tun Erstellen Sie ein unknackbares Passwort die du nicht vergisst.
2. Verwenden Sie die Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) ist ein einfacher, aber leistungsstarker Sicherheitsmechanismus, der die meisten Passwortangriffe sinnlos macht. Wenn MFA eingerichtet ist, können Sie nicht nur mit Ihrem Benutzernamen und Kennwort auf ein Konto zugreifen. Stattdessen müssen Sie einen zusätzlichen Identitätsnachweis erbringen. Dies kann von der Bestätigung Ihrer Telefonnummer und der Eingabe einer temporären PIN bis zur Überprüfung Ihres Fingerabdrucks und der Beantwortung einer persönlichen Sicherheitsfrage reichen.
3. Diversifizieren Sie Ihre Passwörter
Wenn Sie überall dasselbe Passwort verwenden, reicht nur ein Verstoß aus, um alle Ihre Konten zu kompromittieren, egal wie gut dieses Passwort auch sein mag. Aus diesem Grund ist es wichtig, für jedes Konto ein anderes Passwort zu verwenden. Wenn es eine Option ist, passwortlos zu werden, bedenken Sie das auch: Wenn Sie kein Passwort verwenden, können Sie nicht Opfer eines Rainbow-Table-Angriffs oder eines anderen passwortbasierten Angriffs werden.
4. Vermeiden Sie schwache Hashing-Algorithmen
Einige Hash-Algorithmen, wie MD5, sind schwach, was sie zu einem leichten Ziel macht. Organisationen sollten sich an hochmoderne Algorithmen wie SHA-256 halten, das so sicher ist, dass es von Regierungsbehörden in den Vereinigten Staaten, Australien und anderswo verwendet wird. Als normaler Mensch sollten Sie versuchen, Plattformen und Apps zu vermeiden, die veraltete Technologie verwenden.
5. Nutzen Sie Password Salting
Passwort-Hashing ist eine großartige und notwendige Sicherheitsmaßnahme, aber was ist, wenn Sie und eine andere Person dasselbe Passwort verwenden? Ihre gehashten Versionen wären ebenfalls identisch. Hier kommt ein Prozess namens Salzen ins Spiel. Das Salzen von Passwörtern läuft im Wesentlichen darauf hinaus, jedem gehashten Passwort zufällige Zeichen hinzuzufügen, wodurch es vollständig einzigartig wird. Auch dieser Tipp gilt sowohl für Organisationen als auch für Einzelpersonen.
Verstehen Sie die Passwortsicherheit, um sicher zu bleiben
Die Passwortsicherheit als solche ist der Schlüssel, wenn es darum geht, unbefugten Zugriff und verschiedene Arten von Cyberangriffen zu verhindern. Aber es geht um mehr als nur darum, einen einzigartigen, leicht zu merkenden Satz zu finden.
Um Ihre allgemeine Cybersicherheit zu verbessern, müssen Sie verstehen, wie der Passwortschutz wirklich funktioniert, und dann Maßnahmen ergreifen, um Ihre Konten zu sichern. Dies kann für manche etwas überwältigend sein, aber die Verwendung zuverlässiger Authentifizierungsmethoden und eines Passwort-Managers kann einen großen Unterschied machen.