Die letzten Jahre waren keine guten Jahre für die Datensicherheit. Beinahe täglich scheinen Datenlecks Schlagzeilen zu machen. So verwundert es kaum noch, wenn immer wieder Berichte über gravierende Sicherheitslücken selbst in den weltgrößten Technologieunternehmen zu lesen sind.
2019 mussten gleich zwei Technologiegiganten bedeutende Sicherheitsmängel in ihre Systemen einräumen: Facebook musste zugeben, dass das Unternehmen Millionen von Passwörtern von Instagram- Benutzern in Klartext abgespeichert hatte. Nur wenige Monate später räume Google das Gleiche für seine G-Suite-Nutzer ein. Aber weshalb ist es überhaupt ein so großes Problem, wenn Passwörter in Klartext gepflegt werden? Und wie sollten sie stattdessen gespeichert werden?
Werden Passwörter in Klartext aufbewahrt, so kann jede Person mit einem internen Zugriff diese anschauen. Ganz zu schweigen davon, dass im Falle eines Einbruchs in die Datenbank die Hacker ebenfalls die Anmeldedaten in Klartext sehen würden. Deswegen wird ein Unternehmen, das zumindest grundlegendste Sicherheitsstandards befolgt, deine Passwörter niemals in Klartext pflegen.
Stattdessen wird dein Passwort mithilfe von sogenannten Passwort-Hashing-Algorithmen in eine komplizierte Kette aus Zeichen umgewandelt. Sobald du dich dann bei deinem Account anmeldest, wird das gehashte Passwort mit den Hashes in der Datenbank des Unternehmens verglichen. Stimmt das Passwort-Hash überein, so erhältst du Zugang zu deinem Account.
Aber wie funktioniert Hashing genau? Hashing ist eine Einwegfunktion zum Verschlüsseln von Daten – sie nimmt lesbaren Text und verwandelt ihn in eine völlig andere Zeichenkette mit einer bestimmten Länge.
Im Gegensatz zu anderen Verschlüsselungsalgorithmen, die Daten umwandeln, ist Hashing jedoch fast unmöglich rückgängig zu machen. Wenn Hacker also eine Datenbank mit gehashten Passwörtern in die Hände bekommen, ist die Entschlüsselung des Hashes ein aussichtsloses Unterfangen. Dennoch gibt es andere Möglichkeiten für Cyberkriminelle, das ursprüngliche Passwort herauszufinden.
Den Hash knacken
Das größte Problem beim Passwort-Hashing besteht darin, dass wenn ein bestimmtes Wort wie zum Beispiel „grün“ durch einen Hashing-Algorithmus läuft, das gehashte Ergebnis für dieses Wort immer dasselbe wäre. Nehmen wir nun an, Cyberkriminelle erlangen Zugang zu einer Datenbank mit gehashten Passwörtern. Niemand könnte sie davon abhalten, zu versuchen, Millionen von Passwörtern zu erraten und diese durch denselben Algorithmus laufen zu lassen, um zu sehen, wie der Hash für ein bestimmtes Wort aussieht.
Heutzutage verlassen sich Hacker nicht mehr auf primitive Brute-Force-Angriffe. Sie haben ihre Herangehensweisen verfeinert und nutzen eine schwerer zu erkennende, raffinierter Strategie, die als „Wörterbuchangriff“ bekannt ist. Anstatt zu versuchen, ein Passwort mit der Zufallsmethode zu erraten, nutzten die Angreifer vorhersehbare Kombinationen und häufig genutzte Wörter wie beispielsweise „Passwort123“, um Passwörter zu knacken.
Einige Hacker gehen noch einen Schritt weiter und nutzen ein modernes Verfahren, das unter dem Namen „Regenbogentabellen“ bekannt ist. Dabei handelt es sich im Wesentlichen um im Voraus berechnete Tabellen aus Hashwerten für häufig genutzte Passwörter und Kombinationen. Diese Tabellen machen es sehr einfach, selbst komplexeste Passwort-Hashes zu knacken. Es ist so, als besäßen die Angreifer einen geheimen Schlüssel – und scheuen sich nicht, ihn einzusetzen.
Starker vs. schwacher Hash
Aus diesem Grund gibt es verschiedene Typen des Hashings. So gelten zum Beispiel Hashing-Algorithmen wie SHA-1 oder MD5 heute weithin als veraltet und nicht allzu schwierig zu knacken. Jüngere Algorithmen wie bcrypt oder SHA2 sind sicherer, jedoch trotzdem anfällig für bestimmte Angriffstypen. Der empfohlene Algorithmus für das Hashing von Passwörtern ist heute Argon2id. Er wurde so konstruiert, dass er sehr speicherintensiv ist und einen großen Rechenaufwand erfordert, was ihn sehr resistent gegenüber üblichen Brute-Force-Angriffe macht. Dabei hasht Argoin2id das Passwort möglicherweise nur einige Male. Dennoch gilt Argoin2id aufgrund der Komplexität seines Verfahrens als sicherere Option als beispielsweise der Algorithmus PBKDF2, der Tausende oder sogar Millionen von einfachen Hashing-Iterationen ablaufen lässt. Deshalb verwendet NordPass den Algorithmus Argoin2id, um Anmeldedaten zu hashen, wenn du dich einloggst – er ist einer der sichersten Hashing-Algorithmen, die es heute gibt.
Um das Hashing-Verfahren noch sicherer zu machen, kommen zusätzliche „Gewürze“ ins Spiel, die das Sicherheitsniveau noch verschärfen – genauer gesagt „Salts“ und „Peppers“. Unter einem „Salt“ (dt. „Salz“) versteht man eine zufällige Kette aus Zeichen, die generiert und zum Passwort hinzugefügt werden, noch bevor dieses gehasht wird. Der Sinn dieser Salts ist es, das Hashing-Verfahren noch einmal komplexer zu machen, denn das bedeutet: es noch schwieriger für mögliche Angreifer zu machen, „Regenbogentabellen“ bzw. im Voraus berechnete Hash-Datenbanken für das Knacken von Passwörtern zu verwenden. In den meisten Fällen werden die „Salts“ zusammen mit dem gehashten Passwort in einer Datenbank gespeichert.
Ganz ähnlich handelt es sich bei einem „Pepper“ (dt. „Pfeffer“) ebenfalls um einen geheimen Wert, der dem Passwort vor dem Hashing-Verfahren hinzugefügt wird. Anders jedoch als bei einem „Salt“ wird ein „Pepper“ in der Regel im System, das das Passwort-Hashing durchführt, hartcodiert, wodurch es für potenzielle Angreifer noch schwieriger wird, das Passwort zu knacken.
Beschränkungen von Hash-Funktionen
Es gibt einige wenige Einschränkungen für Hash-Funktionen, beispielsweise Hash-Kollisionen. Zu dieser Situation kommt es, wenn zwei verschiedene Eingaben dieselbe Hash-Ausgabe besitzen. Jedoch ist die Wahrscheinlichkeit einer solchen Kollision bei den meisten Hashing-Algorithmen außerordentlich gering, insbesondere bei modernen Funktionen, sodass dies kein großes Problem darstellen sollte.
Fazit
Zusammenfassend lässt sich sagen, dass sich nicht immer erkennen lässt, wie stark die Funktion ist, die dein Serviceanbieter verwendet, also achte immer darauf, starke Passwörter zu verwenden. Mit dem Passwort-Generator von NordPass kannst du auf einfache Weise sichere Passwörter erzeugen. Dennoch – das haben die Fälle Google und Facebook gezeigt – gelangen deine Anmeldedaten manchmal als Klartext in die Öffentlichkeit, daher solltest du auch dafür sorgen, dass du Passwörter nie mehrfach benutzt. Wir sind uns bewusst dass es fast unmöglich ist, sich all diese Passwörter zu merken – zu diesem Zweck steht dir daher immer der NordPass Passwort-Manager zur Verfügung.