https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=LM-HashLM-Hash - Versionsgeschichte2026-05-24T03:56:27ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=LM-Hash&diff=996494&oldid=previmported>Ulanwp: 4 fehlende Sprachparameter eingefügt; 2 Datumsparameter konvertiert; 3 Parameter zugriff nach abruf konvertiert; Pfad in Parameter titel durch Titel der Quelle ersetzt2026-04-04T11:09:21Z<p>4 fehlende Sprachparameter eingefügt; 2 Datumsparameter konvertiert; 3 Parameter zugriff nach abruf konvertiert; Pfad in Parameter titel durch Titel der Quelle ersetzt</p>
<p><b>Neue Seite</b></p><div>Der '''LAN-Manager-Hash''' oder '''LM-Hash''' ist eine [[Hashfunktion|kryptographische Hashfunktion]]. Sie wird vom Microsoft [[LAN Manager]] und teilweise von [[Microsoft Windows NT|Windows-NT]]-basierten Betriebssystemen verwendet, um 128-Bit-Hashwerte von Passwörtern zu speichern.<ref>Jesper M. Johansson: [http://www.microsoft.com/germany/technet/sicherheit/newsletter/kennwoerter.mspx ''Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter. Problemstellung.'']</ref> Ursprünglich wurde LM-Hash für den Microsoft LAN Manager entwickelt. Er wird seitdem sowohl im LAN Manager als auch von [[Microsoft Windows]] genutzt, um Benutzerpasswörter zu speichern, die kürzer als 15 Zeichen sind. Diese Art von Hash ist die einzige Art von [[Hashfunktion|Hash-Funktion]], die in Microsoft LAN Manager und Versionen von Windows bis zu Windows Me verwendet wird. Er wird nur aus Gründen der [[Kompatibilität (Technik)|Abwärtskompatibilität]] auch von neueren Windows-Versionen unterstützt, aber für die Authentifizierung von Konten nicht verwendet.<br />
<br />
== Algorithmus ==<br />
Der LM-Hash wird folgendermaßen berechnet:<ref name="davenport">{{Internetquelle |autor=Eric Glass |url=https://davenport.sourceforge.net/ntlm.html#theLmResponse |titel=The NTLM Authentication Protocol |datum=2003 |abruf=2006-06-05 |sprache=en}}</ref><br />
# Das Passwort des Benutzers in Form eines [[Codepage 437|OEM]]-Strings wird zu [[Majuskel|Großbuchstaben]] umgeformt.<br />
# Ist das Passwort kürzer als 14 Bytes, wird es mit Nullbytes aufgefüllt.<br />
# Das Passwort mit der festen Länge wird in zwei 7-Byte-Hälften aufgeteilt.<br />
# Aus jeder Hälfte wird durch Hinzufügen eines NON-Parity-Bits nach jeweils 7 Bits ein 64 Bit langer [[Data Encryption Standard|DES]]-Schlüssel erzeugt.<br />
# Jeder dieser Schlüssel wird dazu genutzt, den konstanten [[American Standard Code for Information Interchange|ASCII]]-String “<code>KGS!@#$%</code>” mit DES zu verschlüsseln, woraus zwei 8 Byte Chiffretext-Werte resultieren.<br />
# Diese beiden Chiffretext-Werte werden verbunden, um einen 16-Byte-Wert zu bilden, der den LM-Hash darstellt.<br />
#* War das Passwort kürzer als 8 Stellen, so enthält die 2. Hälfte stets den Hash von 7 Nullen.<br />
<br />
Wird ein Passwort gewählt, für welches kein LM-Hash gebildet werden kann, z. B. mit einer Länge von mindestens 15 Stellen<ref>{{Internetquelle |url=https://support.microsoft.com/de-de/help/299656/how-to-prevent-windows-from-storing-a-lan-manager-hash-of-your-passwor |titel=So verhindern Sie, dass Windows einen LAN-Manager-Hash Ihres Kennworts in Active Directory- und lokalen SAM-Datenbanken speichert |abruf=2017-10-23 |sprache=de}}</ref>, so werden beide Hälften mit Nullen aufgefüllt. Derselbe Wert wird auch gebildet, wenn auf dem jeweiligen System die Generierung von LM-Hashes allgemein deaktiviert wurde.<br />
<br />
== Sicherheitsschwäche ==<br />
Obwohl der LM-Hash auf DES basiert, kann er aufgrund zweier Schwächen in seiner Implementation einfach geknackt werden. Erstens werden Passwörter länger als sieben Zeichen in zwei 7 Byte lange Stücke geteilt und jedes Stück für sich gehasht. Zweitens werden alle Kleinbuchstaben im Passwort zu Großbuchstaben umgeformt, bevor das Passwort gehasht wird. Die erste Schwäche erlaubt, jede Hälfte des Passwortes getrennt anzugreifen. Während es <math>95^{14}\approx 2^{92}</math> verschiedene Passwörter aus bis zu 14 Buchstaben uneinheitlicher Groß-/Kleinschreibung und anderen in einem Passwort zulässigen Zeichen gebildet werden können, gibt es nur <math>95^{7} \approx 2^{46}</math> verschiedene 1-7 Zeichen-Passwörter, welche den gleichen Zeichensatz nutzen. Durch die Konvertierung des Strings in Großbuchstaben reduziert sich die Anzahl der Möglichkeiten für jede Hälfte auf <math>69^{7} \approx 2^{43}</math>. Bei Durchführung einer [[Brute-Force-Methode|Bruteforceattacke]] auf die einzelnen Hälften können moderne, leistungsfähige CPUs alphanumerische LM-Hashes innerhalb weniger Stunden auf einem Kern knacken.<br />
<br />
Anschließend liegt das jeweilige Passwort in Großbuchstaben vor. Falls dies nicht bereits das tatsächliche Passwort ist, können gegen die NTLM Hash des jeweiligen Kontos noch alle Varianten in Groß- und Kleinschreibung geprüft werden. Der Rechenaufwand dafür ist minimal.<br />
<br />
Da der LM-Hash keinen [[Salt (Kryptologie)|Salt]] beinhaltet, ist auch eine time-memory trade-off [[Kryptoanalyse]]-Attacke, wie bei [[Rainbow Table]]s, durchführbar. Im Jahr 2003 wurde [[Ophcrack]], eine Implementation der Rainbow-Table-Technik, veröffentlicht. Es zielt speziell auf die Schwächen in der LM-Verschlüsselung ab und beinhaltet vorberechnete Daten, hinreichend, um nahezu alle alphanumerischen LM-Hashes in wenigen Sekunden zu brechen. Viele Cracking-Tools, wie zum Beispiel [[RainbowCrack]], L0phtCrack und [[Cain & Abel]], enthalten ähnliche Attacken und machen das Knacken von LM-Hashes trivial.<br />
<br />
Als Reaktion auf die Sicherheitsschwächen des LM-Hashs führte Microsoft den [[NTLM]]-Algorithmus in [[Microsoft Windows NT 3.1|Windows NT 3.1]] ein. Während LAN Manager als veraltet betrachtet wird und aktuelle Windows-Betriebssysteme die stärkere NTLM-Hashing-Methode verwenden, berechnen und speichern alle Windows-Systeme den LM-Hash standardmäßig noch immer, um mit LAN Manager und Windows Me oder früheren Clients kompatibel zu sein. Es ist sinnvoll, diese Eigenschaft dort zu deaktivieren, wo sie nicht benötigt wird.<ref name="mskb">{{Internetquelle |url=http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656& |titel=How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases |werk=Microsoft Knowledge Base |abruf=2006-06-05 |sprache=en}}</ref><br />
Microsoft behauptete, dass die Unterstützung für LM im neuen Betriebssystem Windows Vista vollständig beseitigt werden wird.<ref name="vista">{{cite journal |first=Jesper |last=Johansson |date=2006-08 |title=The Most Misunderstood Windows Security Setting of All Time |journal=TechNet Magazine |url=https://www.microsoft.com/technet/technetmag/issues/2006/08/SecurityWatch/ |access-date=2007-01-08 |language=en}}</ref><br />
Dennoch enthält selbst Windows 7 in der Praxis die Unterstützung für den LM-Hash, wenn sie auch standardmäßig deaktiviert ist. Über ''Lokale Sicherheitsrichtlinien'' in der Systemverwaltung ist eine Aktivierung möglich. Bei den Home-Versionen von Microsoft Windows Vista und 7 ist diese Einstellung nur über die [[Registrierungsdatenbank]] verfügbar.<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Kryptographische Hashfunktion]]</div>imported>Ulanwp