Verfahren für Password-Hashing

Über viele Runden

von Matthias Wübbeling

Dass Kennwörter nicht im Klartext in Benutzerdatenbanken von Unternehmen lagern, ist heute zum Glück etablierter Standard. Über den korrekten Umgang mit Benutzerpasswörtern und das passende Hash-Verfahren ranken sich dennoch viele Mythen und Halbwahrheiten. Viel zu häufig sind auch gehashte Zugangsdaten nicht vor Angriffen von Hackern sicher. Der Security-Tipp in diesem Monat greift das Problem auf und diskutiert unterschiedliche Verfahren für die sichere Speicherung von Passwörtern in der Benutzerdatenbank.

Aus IT-Administrator 03/2020

Kaum ein Monat vergeht, in dem keine Presseberichte von einem größeren Datenleck die Runde machen – zuletzt traf es den Mietwagenanbieter Buchbinder. Die ... (mehr)

Schon in den 1990er-Jahren war es verpönt, Passwörter unverschlüsselt in Benutzerdatenbanken abzulegen. Trotz alledem gab es, wenngleich es als Ausnahme anzusehen ist, auch in den letzten zehn Jahren immer noch Onlinedienste, die über die "Passwort vergessen"-Funktion die Klartextpasswörter an die E-Mail-Adressen ihrer Benutzer versandt haben. Die meisten Anbieter, die eine Benutzerdatenbank mit Passwort pflegen, speichern dieses gehasht oder verschlüsselt ab.

Schnell setzte sich MD5 als Mittel zur Wahl beim Hashing von Benutzerpasswörtern durch. Das Verfahren war einfach zu implementieren, schnell und galt zunächst als kollisionsarm und sicher. Im Laufe der Zeit lernten Angreifer aber vor allem die Schnelligkeit von MD5 zu schätzen. So konnten sie im Rahmen eines Bruteforce-Angriffs nämlich in kurzer Zeit sehr viele Passwörter einfach ausprobieren. Zwar machten Zusatzwerte (Salts) die Verwendung von vorberechneten Rainbowtables zunächst deutlich komplexer, aber auch nicht unmöglich. Bereits Ende der 1990er wurden deshalb andere Verfahren zum Hashing von Passwörtern empfohlen.

Aber auch das als Alternative angepriesene SHA-1

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.