Passwort – Sicherer mit Hash und Salt

passwort 02
News

Nach einem Bericht von heise online ist der deutsche avast!-Distributor Avadas Opfer eines Hackerangriffes geworden. Im Netz finden sich nun Auszüge aus Datenbanken mit Geburtsdaten, Anschriften, Bankverbindungen Mailadressen und Passworthashes von über 16.000 Personen. Welches Hashverfahren zur Anwendung kam, ist aber unbekannt. Es heißt aber zumindest, dass die Passworthashes gesalzen gewesen seien. Was aber bedeutet das?

Kryptologische Hashverfahren

Immer wieder bestätigen Vorfälle wie im Fall von Avadas, dass auf den Schutz von Passwörtern ein besonderes Augenmerk zu richten ist. Dies fängt bereits bei der Wahl eines sicheren Passwortes an, verlangt darüber hinaus aber auch eine sichere Speicherung des Passwortes für das Authentifizierungsverfahren bei Nutzung einer Anwendung oder Webseite. Das Speichern des Passwortes in unverschlüsselter Form stellt ein beachtliches Sicherheitsrisiko dar.

Um diesem Sicherheitsrisiko entgegenzuwirken, werden Passwörter in der Regel mit einem festen Algorithmus verschlüsselt gespeichert. Man spricht hierbei von einem gehashten Passwort.

Risiko einer Wörterbuchattacke

Jedoch unterliegen auch solche gehashten Passwörter ohne weiteres Sicherheitsmerkmal immer wieder sog. Wörterbuchangriffen. Hierbei werden Listen von Wörtern mit demselben Algorithmus wie das Passwort verschlüsselt und anschließend deren Hashwerte mit dem gespeicherten Wert verglichen. Stimmen die Hashwerte überein, ist hieraus ein Rückschluss auf das verwendete Passwort möglich.

Dem Hacker ordentlich die Suppe versalzen

Um beispielsweise vor Wörterbuchangriffen zum Ausspionieren von Passwörtern, aber auch vor einem Sicherheitsrisiko durch einen böswilligen Systemadministratoren zu schützen, wurde das sog. „Salt“ eingeführt. Das Salt ist ein zufällig generierter Wert, der an das Benutzerpasswort vor der Verschlüsselung angehängt wird.

Allerdings vermeidet auch die Hinzugabe des Zufallswertes zum (Klartext)Passwort das Knacken von Passwörtern nicht, aber erschwert dieses erheblich durch großen Zeitaufwand. Denn der nun vorliegende gehashte Wert aus Passwort und Salt kann nicht einfach in einer Liste von Hashwerten nachgeschlagen, sondern muss aus einer Vielzahl von Kombinationen aus Passwörtern und Saltwerten geprüft werden.

Passwortkreativität ist gefragt

Der Benutzer von Diensten, bei denen eine Authentifizierung mittels Benutzernamen und Passwort erforderlich ist, sollte sich jedoch nie darauf verlassen, dass der Dienstanbieter ein sichereres Verschlüsselungsverfahren für die Passwortspeicherung verwendet. Ist es wie im Fall von Avada zu einem Hackerangriff gekommen und das Schicksal der Benutzerdaten einschließlich Passwort unbekannt, sollte in jedem Fall unverzüglich ein neues Passwort vergeben werden.

Hierbei sollte es sich bestenfalls nicht um dasselbe Passwort handeln, das bereits für andere Dienste verwendet wird. Denn wie hinlänglich bekannt, versuchen Cyber-Kriminielle gerne auch sich mittels der erlangten Daten Zugang zu anderen Diensten zu verschaffen. Welche Kriterien bei der Passwortwahl beachtet werden sollten, haben wir hier bereits zusammengestellt.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Bitte lernen Sie endlich, dass diese Vorfälle keine Hacker-Angriffe sind, sondern Cracker-Angriffe.

    Hacker sind die guten.
    Cracker heißen die kriminellen Bösewichte.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.