Salz und Pfeffer
Zur Navigation springen
Zur Suche springen
Salt und Pepper
Problem
- gleiches Passwort -> gleicher Hash
- Rainbow Table / Hash-Tabelle einmal bauen, gegen alle Hashes nutzen
- identische Passwörter sofort erkennbar (gleicher Hash in der Datenbank)
Salt
- zufälliger Wert pro User, wird ans Passwort gehängt vor dem Hashen
- hash(passwort + salt)
- Salt steht im Klartext neben dem Hash in der Datenbank
- Wirkung:
- jeder User hat anderen Hash, auch bei gleichem Passwort
- vorberechnete Tabellen wertlos -> Angreifer muss pro Salt neu rechnen
- schützt NICHT gegen gezieltes Cracken eines einzelnen Hashes
Pepper
- zusätzlicher geheimer Wert, NICHT in der Datenbank
- liegt getrennt (Config, HSM, Code)
- hash(passwort + salt + pepper)
- Wirkung:
- bei reinem Datenbank-Leak fehlt der Pepper -> Hashes nicht angreifbar
- gleicher Pepper für alle User (im Gegensatz zum Salt)
Merksatz
- Salt
- pro User, oeffentlich, gegen Tabellen
- Pepper
- global, geheim, gegen Datenbank-Leak