Was ist Passwort-Hashing?

Lukas Grigas
Werbetexter für Cybersicherheit
cover password hashing

Die letzten Jahre waren keine guten Jahre für die Datensicherheit. Datenpannen sind scheinbar an der Tagesordnung. So verwundert es kaum noch, wenn immer wieder Berichte über gravierende Sicherheitslücken selbst in den weltgrößten Technologieunternehmen zu lesen sind.

2019 mussten gleich zwei Technologiegiganten bedeutende Sicherheitsmängel in ihren Systemen einräumen. Facebook musste zugeben, dass es Millionen von Passwörtern von Instagram-Benutzern in Klartext gespeichert hatte. Einige Monate später gab Google dasselbe über seine G-Suite-Nutzer bekannt. Doch warum ist es so ein großes Problem, wenn Passwörter im Klartext gespeichert werden? Und wie sollten sie stattdessen gespeichert werden?

Wenn Passwörter im Klartext gespeichert werden, kann jeder Nutzer mit internem Zugang sie sehen. Ganz zu schweigen davon, dass Hacker im Falle eines Angriffs auf die Datenbank auch die Anmeldedaten im Klartext sehen würden. Ein Unternehmen, das zumindest grundlegende Sicherheitspraktiken befolgt, sollte Ihre Passwörter also niemals im Klartext speichern.

Stattdessen wird Ihr Passwort mithilfe von sogenannten Passwort-Hashing-Algorithmen in eine komplizierte Kette aus Zeichen umgewandelt. Wenn Sie sich dann in Ihr Konto einloggen, wird das gehashte Passwort mit anderen Hashes in der Datenbank des Unternehmens verglichen. Wenn der Passwort-Hash übereinstimmt, erhalten Sie Zugriff auf Ihr Konto.

Aber wie funktioniert Hashing genau? Hashing ist eine Einwegfunktion zum Verschlüsseln von Daten – sie nimmt lesbaren Text und verwandelt ihn in eine völlig andere Zeichenkette mit einer bestimmten Länge.

Im Gegensatz zu anderen Verschlüsselungsalgorithmen, die Daten umwandeln, ist Hashing jedoch fast unmöglich rückgängig zu machen. Wenn Hacker also eine Datenbank mit gehashten Passwörtern in die Hände bekommen, ist die Entschlüsselung des Hashes ein aussichtsloses Unterfangen. Dennoch gibt es andere Möglichkeiten für Cyberkriminelle, das ursprüngliche Passwort herauszufinden.

inner asset password hashing

Den Hash knacken

Das größte Problem beim Passwort-Hashing besteht darin, dass wenn ein bestimmtes Wort wie zum Beispiel „grün“ durch einen Hashing-Algorithmus läuft, das gehashte Ergebnis für dieses Wort immer dasselbe wäre. Nehmen wir nun an, Cyberkriminelle erlangen Zugang zu einer Datenbank mit gehashten Passwörtern. Niemand hindert sie daran, Millionen von Passwörtern zu erraten und sie durch denselben Algorithmus laufen zu lassen, um zu sehen, wie der Hash für ein bestimmtes Wort aussieht.

Heutzutage verlassen sich Hacker nicht mehr auf primitive Brute-Force-Angriffe. Sie haben ihre Herangehensweisen verfeinert und nutzen eine schwerer zu erkennende, raffinierter Strategie, die als „Wörterbuchangriff“ bekannt ist. Anstatt zu versuchen, ein Passwort mit der Zufallsmethode zu erraten, nutzten die Angreifer vorhersehbare Kombinationen und häufig genutzte Wörter wie beispielsweise „Passwort123“, um Passwörter zu knacken.

Einige Hacker gehen noch einen Schritt weiter und nutzen ein modernes Verfahren, das unter dem Namen „Regenbogentabellen“ bekannt ist. Dabei handelt es sich im Wesentlichen um im Voraus berechnete Tabellen aus Hashwerten für häufig genutzte Passwörter und Kombinationen. Diese Tabellen machen es sehr einfach, selbst komplexeste Passwort-Hashes zu knacken. Als hätten sie einen geheimen Schlüssel und würden ihn ohne zu zögern benutzen.

Starker vs. schwacher Hash

Aus diesem Grund gibt es verschiedene Typen des Hashings. So gelten zum Beispiel Hashing-Algorithmen wie SHA-1 oder MD5 heute weithin als veraltet und nicht allzu schwierig zu knacken. Jüngere Algorithmen wie bcrypt oder SHA2 sind sicherer, jedoch trotzdem anfällig für bestimmte Angriffstypen. Der empfohlene Algorithmus für das Passwort-Hashing ist heute Argon2id, der speicherintensiv und rechenaufwendig ist, wodurch er sehr widerstandsfähig gegen gängige Arten von Brute-Force-Angriffen ist. Argoin2id kann das Passwort nur ein paar Mal hashen. Dennoch gilt Argoin2id aufgrund der Komplexität seines Verfahrens als sicherere Option als beispielsweise der Algorithmus PBKDF2, der Tausende oder sogar Millionen von einfachen Hashing-Iterationen ablaufen lässt. Deshalb verwendet NordPass den Algorithmus Argoin2id, um Anmeldedaten zu hashen, wenn Sie sich einloggen – er ist einer der sichersten Hashing-Algorithmen, die es heute gibt.

Um den Hashing-Prozess noch sicherer zu machen, gibt es das sogenannte „Seasoning“, genauer gesagt „Salzen“ und klicken Sie dann auf „Pfeffern“. Unter einem „Salt“ (dt. „Salz“) versteht man eine zufällige Kette aus Zeichen, die generiert und zum Passwort hinzugefügt werden, noch bevor dieses gehasht wird. Der Sinn dieser Salts ist es, das Hashing-Verfahren noch einmal komplexer zu machen, denn das bedeutet: es noch schwieriger für mögliche Angreifer zu machen, „Regenbogentabellen“ bzw. im Voraus berechnete Hash-Datenbanken für das Knacken von Passwörtern zu verwenden. In den meisten Fällen werden die „Salts“ zusammen mit dem gehashten Passwort in einer Datenbank gespeichert.

Ganz ähnlich handelt es sich bei einem „Pepper“ (dt. „Pfeffer“) ebenfalls um einen geheimen Wert, der dem Passwort vor dem Hashing-Verfahren hinzugefügt wird. Im Gegensatz zu „Salt“ ist „Pepper“ jedoch in der Regel fest in das System integriert, welches das Passwort-Hashing durchführt, was es für potenzielle Angreifer noch schwieriger macht, das Passwort zu knacken.

Einschränkungen von Hash-Funktionen

Es gibt ein paar Einschränkungen für Hash-Funktionen, zum Beispiel Hash-Kollisionen. Zu dieser Situation kommt es, wenn zwei verschiedene Eingaben dieselbe Hash-Ausgabe besitzen. Jedoch ist die Wahrscheinlichkeit einer solchen Kollision bei den meisten Hashing-Algorithmen außerordentlich gering, insbesondere bei modernen Funktionen, sodass dies kein großes Problem darstellen sollte.

Fazit

Zusammenfassend lässt sich sagen, dass Sie nicht immer erkennen können, wie stark die von Ihrem Dienstanbieter verwendete Funktion ist. Verwenden Sie daher unbedingt sichere Passwörter. Ein sicheres Passwort können Sie mit dem NordPass Passwort-Generator erstellen. Dennoch – das haben die Fälle Google und Facebook gezeigt – gelangen Ihre Anmeldedaten manchmal als Klartext in die Öffentlichkeit, daher sollten Sie auch dafür sorgen, dass Sie Passwörter nie mehrfach benutzen. Wir wissen, dass es fast unmöglich ist, sich all diese Passwörter zu merken. Deshalb können Sie jederzeit den NordPass Passwort-Manager verwenden.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.