Passwort – Sicherer mit Hash und Salt

Nach einem Bericht von heise online ist der deutsche avast!-Distributor Avadas Opfer eines Hackerangriffes geworden. Im Netz finden sich nun Auszüge aus Datenbanken mit Geburtsdaten, Anschriften, Bankverbindungen Mailadressen und Passworthashes von über 16.000 Personen.

Welches Hashverfahren zur Anwendung kam, ist aber unbekannt. Es heißt aber zumindest, dass die Passworthashes gesalzen gewesen seien. Was aber bedeutet das?

Kryptologische Hashverfahren

Immer wieder bestätigen Vorfälle wie im Fall von Avadas, dass auf den Schutz von Passwörtern ein besonderes Augenmerk zu richten ist. Dies fängt bereits bei der Wahl eines sicheren Passwortes an, verlangt darüber hinaus aber auch eine sichere Speicherung des Passwortes für das Authentifizierungsverfahren bei Nutzung einer Anwendung oder Webseite. Das Speichern des Passwortes in unverschlüsselter Form stellt ein beachtliches Sicherheitsrisiko dar.

Um diesem Sicherheitsrisiko entgegenzuwirken, werden Passwörter in der Regel mit einem festen Algorithmus verschlüsselt gespeichert. Man spricht hierbei von einem gehashten Passwort.

Risiko einer Wörterbuchattacke

Jedoch unterliegen auch solche gehashten Passwörter ohne weiteres Sicherheitsmerkmal immer wieder sog. Wörterbuchangriffen. Hierbei werden Listen von Wörtern mit demselben Algorithmus wie das Passwort verschlüsselt und anschließend deren Hashwerte mit dem gespeicherten Wert verglichen. Stimmen die Hashwerte überein, ist hieraus ein Rückschluss auf das verwendete Passwort möglich ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK