Das meinte ich nicht. Um sich (als Angreifer) die Tatsache, dass das Passwort aus dem Woerterbuch stammt, zunutze zu machen, muss man den Raum der zu checkenden Passwoerter irgendwie auf eben diese Woerter beschraenken. Um dafuer Rainbow-Tabellen zu berechnen, braeuchte man ne Reduktionsfunktion, die den Hash eines Woerterbuchwortes (bzw. Woerterbuchwort + Salt) wieder auf ein Woerterbuchwort abbildet (bzw., wenn mit Salt gespeichert, ein Wort, das mit einem Woerterbuchwort beginnt). Das auf hinreichend pseudo-zufaellige Weise zu machen, ist nicht effizient moeglich (sofern die Menge der Weorterbuchwoerter keine regulaere Sprache ist, was z.B. im deutschen m.W. der Fall ist ;-)).

Das ist klar - wenn ich ohnehin NUR ein definiertes Wörterbuch verwende und danach auf weitere Angriffe verzichte, brauch ich keine Rainbow-Table. So groß kann das Wörterbuch garnicht sein, dass es nicht auf einen handelsüblichen USB-Stick passen würde ;)

Die Menge aller Woerter mit "Woertbuch-Praefix" (d.h. Woerterbuchwort + irgendein Hash) ist dafuer aber zu gross.

Natürlich - das ist ja der Sinn, eben Rainbow-Tabellen unrentabel bzw. unnütz zu machen - die Sicherheit eines einzelnen Passworts erhöht das aber kaum. Dass der Angreifer länger für seine Aufgabe benötigt ist kein wirkliches Sicherheitskriterum - ausser vielleicht bei Systemen mit beschränkter Dültigkeitsdauer der Passwörter. Aber auch das wäre kurzsichtig ;)