Passwörter Begriffe
Version vom 18. Oktober 2022, 16:52 Uhr von Thomas.will (Diskussion | Beiträge)
Passwort Hashing
- Passwörter werden mittels eines Hashing-Verfahrens in eine festgelegte Codefolge mit zufälligen Zahlen und Buchstaben umgewandelt.
- Die Generierung von Hashes läuft automatisiert über einen Algorithmus ab übersogenannte Hash-Generatoren
- Es gibt unterschiedliche Hashes je nach verwendetem Algorithmus.
- MD5
- SHA256
- SHA512
Salt
- Damit bezeichnet man in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen Klartext vor dessen weiterer Verarbeitung angehängt wird
- Dies geschiehtum die Entropie der Eingabe zu erhöhen.
- Es wird häufig für die Speicherung und Übermittlung von Passwörtern benutzt, um die Informationssicherheit zu erhöhen.
- Wo die Anmeldung über das Internet oder andere Netzwerke erfolgt, werden die Zugangsdaten häufig mit Salts versehen.
- Ein Passwort wird nicht mehr direkt gehasht, sondern es wird zusammen mit dem Salt in die Hashfunktion eingegeben.
- Das Salt ist entweder für alle Benutzer das gleiche, oder es wird für jeden Benutzer bei dessen Kontoerstellung zufällig erzeugt.
- Beim Abfragen des Passwortes bei der Anmeldung muss der Prüffunktion der Saltwert bekannt sein um den selben Hash zu bilden.
Pepper
- Um Wörterbuch- und Brute-Force-Angriffe weiter zu erschweren, kann das Passwort mit einer vom Server gewählten und geheimgehaltenen Zeichenfolge kombiniert werden.
- Diese Zeichenfolge wird Pepper genannt und ist normalerweise für alle Passwörter auf einem Server gleich.
- Wenn der Pepper zusätzlich noch jeweils für jedes Passwort geändert wird, kann die Sicherheit weiter erhöht werden.
- Der Pepper wird nicht in derselben Datenbank gespeichert wie der Hashwert, sondern an einem anderen und möglichst sicheren Ort hinterlegt.
- Erlangt ein Angreifer nur Zugriff auf die Datenbank, so erfährt er zwar immer noch die Hash-Werte, diese stammen aber nun von Kombinationen von Passwort und einem unbekannten Pepper.
- Ein Wörterbuchangriff ist sinnlos, weil kein Wörterbuch zufällig eine der Passwort-Pepper-Kombinationen enthalten wird.
- Auch ein Brute-Force-Angriff wird drastisch erschwert, weil man nicht nur die Passwörter durchprobieren muss, sondern die Kombinationen aus Passwort und Pepper.