Salz und Pfeffer

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Salt und Pepper

Problem

  • gleiches Passwort -> gleicher Hash
  • Rainbow Table / Hash-Tabelle einmal bauen, gegen alle Hashes nutzen
  • identische Passwörter sofort erkennbar (gleicher Hash in der Datenbank)

Salt

  • zufälliger Wert pro User, wird ans Passwort gehängt vor dem Hashen
  • hash(passwort + salt)
  • Salt steht im Klartext neben dem Hash in der Datenbank
  • Wirkung:
    • jeder User hat anderen Hash, auch bei gleichem Passwort
    • vorberechnete Tabellen wertlos -> Angreifer muss pro Salt neu rechnen
  • schützt NICHT gegen gezieltes Cracken eines einzelnen Hashes

Pepper

  • zusätzlicher geheimer Wert, NICHT in der Datenbank
  • liegt getrennt (Config, HSM, Code)
  • hash(passwort + salt + pepper)
  • Wirkung:
    • bei reinem Datenbank-Leak fehlt der Pepper -> Hashes nicht angreifbar
    • gleicher Pepper für alle User (im Gegensatz zum Salt)

Merksatz

Salt
  • pro User, oeffentlich, gegen Tabellen
Pepper
  • global, geheim, gegen Datenbank-Leak