De kaller seg «Geoffery, John, and Travis», fra henholdsvis Belgia, Storbritannia og USA, og de har nylig fått med seg to til fra USA, «Danny» og «'cncr04s'». De har lagt ut til sammen 11 tabeller med passord og tilhørende hash-verdier for seks ulike hash-algoritmer på nettstedet RainbowCrack Online, og tilbyr oppslag mot betaling.
Det oppgitte motivet for dette er å tilby bedrifter å sjekke om deres passord er sterke nok. Ideen er at hvis tjenesten greier å finne passordet som du oppgir hash-verdien til, vil alle som fanger opp hash-verdien også kunne finne passordet på RainbowCrack.
En «rainbow table» er rett og slett en tabell over alle mulige hash-verdier med tilhørende passord, for en gitt algoritme. Er tabellen stor nok, vil den også omfatte hash-verdier for «sterke passord» med tegn som &, %, €, € og så videre.
Hash-verdien til et passord er den verdien som lagres på en server for å sjekke et passord. Du taster passordet på din klient, så krypteres den etter en bestemt hash-algoritme før den sendes over til serveren. Gode hash-algoritmer skal være omtrent umulig å reversere, derfor bruker man heller «rainbow»-tabeller for å knekke dem. Framgangsmåten er enkel: Først genererer man alle mulige passord, så kjører man dem gjennom algoritmen, og så lagrer man tabeller med passord og tilhørende hash-verdi.
Slike tabeller finnes det antakelig mange av. På hacker-samlinger som DefCon, går det folk rundt og selger dem for noen få hundre dollar. Andre er gratis tilgjengelig gjennom fildelingsteknologien BitTorrent. Det finnes også programvare i åpen kildekode som genererer slike tabeller. Ifølge Robert Lemos i SecurityFocus kan 99,9 prosent av hash-verdiene beregnet av Microsofts LanManager-algoritme knekkes i løpet av 13,6 sekunder, bare man har tilstrekkelig store tabeller med hash-verdier.
Tabellene til RainbowCrack er på 500 GB, så de burde være store nok. I tillegg til sju tabeller for LanManager, er det tabeller for hash-algoritmene MD5, MySQL 323 og SHA-1. Det har tatt to år for de tre gründerne i RainbowCracker å generere tabellene.
Ifølge Lemos er det lite sannsynlig at tjenesten til RainbowCracker vil lykkes kommersielt. Årsaken er at bedrifter ikke trenger slike oppslag for å sjekke sin passordpolitikk. Dersom de beregner hash-verdier direkte for hvert passord, vet de allerede at beskyttelsen deres er under pari.
Poenget er at man lett kan gjøre oppslag i en «rainbow»-tabell nytteløst ved å legge til «salt», det vil si en serie vilkårlige tegn, til hvert passord før man genererer hash-verdien. Da øker minnekravet til tabellen like mange ganger som det er tegn i «saltet», og risikoen for at en tabell skal kunne oppgi korrekt passord reduseres drastisk.
Problemet er selvfølgelig at RainbowCrack sannsynligvis har rett i sin antakelse om at de færreste har tilstrekkelig med salt på sine passord.
Les også:
- [14.11.2005] Tester passordet ditt gratis
- [28.10.2005] Kritiserer svakt passordvern i Oracle
- [19.09.2005] Microsoft kutter ut gammel krypto
- [15.03.2005] Krever helt ny type hash-algoritmer
- [18.02.2005] Utbredt krypteringsteknologi knekket