Passwörter Begriffe: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=Passwort Hashing= *Passwörter werden mittels eines Hashing-Verfahrens in eine festgelegte Codefolge mit zufälligen Zahlen und Buchstaben umgewandelt. *Die G…“) |
|||
| Zeile 6: | Zeile 6: | ||
*SHA256 | *SHA256 | ||
*SHA512 | *SHA512 | ||
| + | =Salt= | ||
| + | *Damit bezeichnet man in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen Klartext vor dessen weiterer Verarbeitung angehängt wird | ||
| + | *Dies geschiehtum die Entropie der Eingabe zu erhöhen. | ||
| + | *Es wird häufig für die Speicherung und Übermittlung von Passwörtern benutzt, um die Informationssicherheit zu erhöhen. | ||
| + | *Wo die Anmeldung über das Internet oder andere Netzwerke erfolgt, werden die Zugangsdaten häufig mit Salts versehen. | ||
| + | *Ein Passwort wird nicht mehr direkt gehasht, sondern es wird zusammen mit dem Salt in die Hashfunktion eingegeben. | ||
| + | *Das Salt ist entweder für alle Benutzer das gleiche, oder es wird für jeden Benutzer bei dessen Kontoerstellung zufällig erzeugt. | ||
| + | *Beim Abfragen des Passwortes bei der Anmeldung muss der Prüffunktion der Saltwert bekannt sein um den selben Hash zu bilden. | ||
| + | =Pepper= | ||
| + | *Um Wörterbuch- und Brute-Force-Angriffe weiter zu erschweren, kann das Passwort mit einer vom Server gewählten und geheimgehaltenen Zeichenfolge kombiniert werden. | ||
| + | *Diese Zeichenfolge wird Pepper genannt und ist normalerweise für alle Passwörter auf einem Server gleich. | ||
| + | *Wenn der Pepper zusätzlich noch jeweils für jedes Passwort geändert wird, kann die Sicherheit weiter erhöht werden. | ||
| + | *Der Pepper wird nicht in derselben Datenbank gespeichert wie der Hashwert, sondern an einem anderen und möglichst sicheren Ort hinterlegt. | ||
| + | *Erlangt ein Angreifer nur Zugriff auf die Datenbank, so erfährt er zwar immer noch die Hash-Werte, diese stammen aber nun von Kombinationen von Passwort und einem unbekannten Pepper. | ||
| + | *Ein Wörterbuchangriff ist sinnlos, weil kein Wörterbuch zufällig eine der Passwort-Pepper-Kombinationen enthalten wird. | ||
| + | *Auch ein Brute-Force-Angriff wird drastisch erschwert, weil man nicht nur die Passwörter durchprobieren muss, sondern die Kombinationen aus Passwort und Pepper. | ||
Version vom 18. Oktober 2022, 16:52 Uhr
Passwort Hashing
- Passwörter werden mittels eines Hashing-Verfahrens in eine festgelegte Codefolge mit zufälligen Zahlen und Buchstaben umgewandelt.
- Die Generierung von Hashes läuft automatisiert über einen Algorithmus ab übersogenannte Hash-Generatoren
- Es gibt unterschiedliche Hashes je nach verwendetem Algorithmus.
- MD5
- SHA256
- SHA512
Salt
- Damit bezeichnet man in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen Klartext vor dessen weiterer Verarbeitung angehängt wird
- Dies geschiehtum die Entropie der Eingabe zu erhöhen.
- Es wird häufig für die Speicherung und Übermittlung von Passwörtern benutzt, um die Informationssicherheit zu erhöhen.
- Wo die Anmeldung über das Internet oder andere Netzwerke erfolgt, werden die Zugangsdaten häufig mit Salts versehen.
- Ein Passwort wird nicht mehr direkt gehasht, sondern es wird zusammen mit dem Salt in die Hashfunktion eingegeben.
- Das Salt ist entweder für alle Benutzer das gleiche, oder es wird für jeden Benutzer bei dessen Kontoerstellung zufällig erzeugt.
- Beim Abfragen des Passwortes bei der Anmeldung muss der Prüffunktion der Saltwert bekannt sein um den selben Hash zu bilden.
Pepper
- Um Wörterbuch- und Brute-Force-Angriffe weiter zu erschweren, kann das Passwort mit einer vom Server gewählten und geheimgehaltenen Zeichenfolge kombiniert werden.
- Diese Zeichenfolge wird Pepper genannt und ist normalerweise für alle Passwörter auf einem Server gleich.
- Wenn der Pepper zusätzlich noch jeweils für jedes Passwort geändert wird, kann die Sicherheit weiter erhöht werden.
- Der Pepper wird nicht in derselben Datenbank gespeichert wie der Hashwert, sondern an einem anderen und möglichst sicheren Ort hinterlegt.
- Erlangt ein Angreifer nur Zugriff auf die Datenbank, so erfährt er zwar immer noch die Hash-Werte, diese stammen aber nun von Kombinationen von Passwort und einem unbekannten Pepper.
- Ein Wörterbuchangriff ist sinnlos, weil kein Wörterbuch zufällig eine der Passwort-Pepper-Kombinationen enthalten wird.
- Auch ein Brute-Force-Angriff wird drastisch erschwert, weil man nicht nur die Passwörter durchprobieren muss, sondern die Kombinationen aus Passwort und Pepper.