Passwort-Salting: Verbesserung der Passwortsicherheit durch Salting

Lukas Grigas
Werbetexter für Cybersicherheit
Password salt

Ein gutes Passwort kann viel dazu beitragen, Ihre Daten im Falle eines Datenlecks zu schützen. Aber selbst wenn Sie ein 20-stelliges Zufallspasswort mit Symbolen und Zahlen erstellen, verlieren Sie irgendwann die Kontrolle über die Sicherheit Ihrer Anmeldedaten. Denn alles hängt davon ab, wie der Dienstleister Ihre Passwörter speichert.

Leider können selbst die stärksten Passwörter leicht geknackt werden, wenn sie nicht richtig geschützt sind. Das liegt daran, dass identische Passwörter bei herkömmlichen Hashing-Verfahren auch identische Hashes ergeben, was sie natürlich angreifbar macht.

An diesem Punkt hilft das Passwort-Salting weiter. Im Wesentlichen handelt es sich dabei um eine zusätzliche Sicherheitsmaßnahme, die Ihre gespeicherten Passwörter vor Cyberangriffen schützen soll. Aber was genau ist ein Passwort-Salt, und wie erhöht dies die Sicherheit Ihrer Passwörter? Schauen wir uns das mal genauer an.

Was ist ein Passwort-Salt?

Normalerweise werden Ihre Passwörter nicht im Klartext gespeichert. Bevor sie in der Datenbank der jeweiligen Website gespeichert werden, durchlaufen sie einen speziellen Prozess namens Passwort-Hashing, der Passwörter in eine zufällige Zeichenfolge mit einer bestimmten Länge umwandelt. Jedes Mal, wenn Sie sich bei Ihrem Konto anmelden, wird das Passwort durch denselben Einweg-Hashing-Algorithmus verarbeitet. Das Ergebnis wird dann mit den Hashes in der Datenbank verglichen, und wenn sie übereinstimmen, wird Ihnen der Zugriff auf das Konto gewährt.

Obwohl dies eine sichere Methode zur Speicherung von Passwörtern zu sein scheint, gibt es dabei ein Problem. Wenn zwei Passwörter identisch sind, ist auch ihr Hash identisch, was es leichter macht, sie zu knacken. An dieser Stelle kommt das Passwort-Salting ins Spiel und löst das Problem. Ein Passwort-Salt ist ein zufälliges Datenelement, das dem Passwort hinzugefügt wird, noch bevor es den Hash-Algorithmus durchläuft. Das Passwort-Salt ist für jeden Benutzer unterschiedlich, wodurch die den einzelnen Passwörtern zugewiesenen Hashes ebenfalls einzigartig sind.

Wie funktioniert das Passwort-Salting?

Stellen Sie sich vor, Ihr Passwort sei „gelb“. Falls ein anderer Nutzer dasselbe Passwort verwendet, ist die Hash-Ausgabe identisch. Wenn jedoch zu beiden ein paar zufällige Zeichen hinzugefügt werden, erhalten wir zwei verschiedene Passwörter – „gelb#1Gn%“ und „gelb9j?L“ – mit völlig unterschiedlichen Hashes. Genau das machen Websites, die Passwort-Salting nutzen.

hashing-scheme

Welche Arten von Angriffen können durch Passwort-Salting abgewehrt werden?

Das Knacken eines Passworts ist im Grunde ein Ratespiel. Hacker versuchen, die richtige Zeichenkombination zu finden, und – wenn das Passwort gehasht ist – setzen leistungsstarke Computer ein, die ihnen die Arbeit abnehmen. Es gibt drei Hauptmethoden, um gehashte Passwörter zu knacken:

  • Brute-Force

Brute-Force ist sozusagen die simpelste Methode zum Knacken von gehashten Passwörtern. Wie der Name schon andeutet, geht es hierbei nur darum, alle möglichen Kombinationen von Passwörtern zu raten und anschließend durch ein Computerprogramm laufen zu lassen, das die fast unendlichen Kombinationen ausprobiert. Sobald eine Übereinstimmung gefunden wird, kennen Sie das ursprüngliche Passwort. Die Brute-Force-Methode ist einer der Hauptgründe, warum Ihre Passwörter mindestens 12 Zeichen umfassen sollten, denn Brute-Force-Angriffe funktionieren in der Regel am besten bei kürzeren Passwörtern. Je länger die Passwörter sind, desto mehr Rechenleistung ist nötig, um sie zu knacken.

  • Wörterbuchangriffe

Ein Wörterbuchangriff ist eine ausgefeiltere Version der Brute-Force-Methode. Anstatt zufällig zu raten, probiert der Computer die gängigsten Wörter und Zeichenkombinationen für Passwörter aus.. Aus diesem Grund werden Wörterbuchangriffe mit jedem Datenleck besser – mit jedem Mal lernen Kriminelle mehr darüber, wie wir unsere Passwörter erstellen.

  • Rainbow Tables

Ein Rainbow-Table-Angriff ist eine Variante eines Brute-Force-Angriffs, bei dem Hacker sogenannte Rainbow-Tables (Regenbogentabellen) – vorberechnete Datenbanken mit entschlüsselten Hash-Passwörtern – verwenden, um die Passwort-Hashes in der Datenbank zu knacken. Die Hacker durchsuchen ihre Rainbow-Tabellen, um den gewünschten Hash zu finden. Genau wie bei Wörterbuchangriffen werden auch Rainbow Tables mit jedem Datenleck erfolgreicher.

Bewährte Verfahren für das Passwort-Salting

Ein sicheres Passwort-Salt ist einem starken Passwort sehr ähnlich: Es sollte einzigartig, lang, komplex und nicht vorhersehbar sein. So stellen Sie sicher, dass Ihr Passwort-Salting zuverlässig ist:

  1. Achten Sie darauf, dass es zufällig ist: Verwenden Sie niemals Wörter aus dem Wörterbuch oder Namen von Benutzern als Passwort-Salting.

  2. Achten Sie auf Komplexität: Mischen Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie & @ #.

  3. Achten Sie auf die Länge: Im Idealfall sollte die Länge eines Passwort-Salts der Hash-Ausgabe entsprechen.

  4. Vermeiden Sie die Wiederverwendung von Salts: Ein sicheres Passwort-Salting wird nur einmal verwendet. Jedes Mal, wenn ein Benutzer ein Passwort ändert oder ein neues Konto erstellt, sollte ein neues Salt generiert werden.

  5. Bewahren Sie die Hashes sicher auf: Speichern Sie die Hashes und die entsprechenden Salts in einem sicheren, verschlüsselten Format. Es ist von größter Wichtigkeit, robuste Sicherheitsmaßnahmen einzusetzen, um die Datenbank zu schützen, in der die Salts und Hashes gespeichert sind, um einen unbefugten Zugriff zu verhindern.

Häufige Fehler, die es beim Passwort-Salting zu vermeiden gilt

Ein Passwort-Salting kann die generelle Sicherheit erheblich verbessern. Allerdings darf nicht vergessen werden, dass es typische Stolperfallen gibt, die den Erfolg dieser Strategie untergraben können. Diese Fehler zu kennen ist entscheidend, um eine funktionierende Salting-Strategie umzusetzen. Hier sind einige der häufigsten Fehler, die es beim Passwort-Salting zu vermeiden gilt.

Kurze, vorhersehbare Hashes

Obwohl das Salting eine zusätzliche Sicherheitsebene schafft, ist die Stärke des endgültigen Hashes immer noch sehr wichtig. Ist der Hash zu kurz oder zu einfach, so wird die Sicherheit des gespeicherten Passworts insgesamt geschwächt. Denn ein kurzer Hash schränkt die Anzahl der möglichen Hash-Werte ein, was es wiederum für böswillige Akteure einfacher macht, mithilfe von Brute-Force-Methoden Passwörter zu knacken. Die gleiche Logik gilt für einfache und vorhersehbare Hashes. Beim Salting ist also darauf zu achten, dass der gewählte Hash-Algorithmus eine lange und komplexe Ausgabe erzeugt.

Wiederverwendete Hashes

Eines der grundlegenden Prinzipien für den effektiven Einsatz von Passwort-Salts ist die Einzigartigkeit; jedes Passwort sollte sein eigenes, einzigartiges Salt haben. Die Wiederverwendung von Hashes in verschiedenen Datensätzen ist im Grunde dasselbe wie die Verwendung desselben Passworts auf mehreren Websites und bei verschiedenen Diensten. Die Wiederverwendung von Hashes erlaubt es böswilligen Akteuren, Techniken wie Rainbow-Table-Angriffe auf sehr effiziente Weise einzusetzen.

Open-Source-Datenbank

Der Einsatz einer Open-Source-Datenbank für die Speicherung von Passwörtern kann zwar seine Vorteile haben, aber Sie müssen sich darüber im Klaren sein, dass eine solche Datenbank ohne weitere Sicherheitskonfigurationen eine Fundgrube für Cyberkriminelle sein kann. Böswillige Akteure sind in den meisten Fällen mit den gängigen Konfigurationen von Open-Source-Datenbanken vertraut und können bekannte Sicherheitslücken leicht ausnutzen. Wenn Sie also eine Open-Source-Datenbank verwenden oder dies planen, achten Sie darauf, dass Sie starke Sicherheitsmaßnahmen implementieren, die Standardeinstellungen individuell verändern und die Software immer auf dem neuesten Stand halten.

Bewährte Verfahren für die Passwortsicherheit

  • Erstellen von starken und einzigartigen Passwörtern

Die Grundlage für eine hohe Passwortsicherheit ist das Erstellen starker Passwörter für jedes Konto. Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. Eindeutige Kennwörter sind wichtig, denn auch wenn ein Kennwort kompromittiert werden sollte, bleiben die anderen Konten sicher.

  • Die Aktivierung von Multi-Faktor-Authentifizierung erhöht die Passwortsicherheit

Multi-Faktor-Authentifizierung (MFA) zusätzlich, weil die Nutzer zwei oder mehr Verifizierungsfaktoren angeben müssen, um auf ihre Konten zugreifen zu können. In den meisten Fällen kombiniert MFA etwas, das Sie wissen (Ihre Passwörter), mit etwas, das Sie besitzen (Ihr Smartphone, ein Tablet usw.), sowie in einigen Fällen mit etwas, das Sie ausmacht (biometrische Daten wie Ihr Fingerabdruck oder Gesicht). MFA reduziert das Risiko eines unbefugten Zugriffs deutlich, selbst wenn das Passwort kompromittiert wurde.

  • Die Aufklärung der Nutzer über Passworthygiene

Nutzer müssen sich der Risiken bewusst sein, die schwache Passwörter verursachen, und diese genau verstehen. Sie sollten auch verstehen, wie bewährte Sicherheitsverfahren wie das Vermeiden der Wiederverwendung von Passwörtern auf verschiedenen Websites und die Verwendung eines Passwortmanagers für ihre sensiblen Daten sie entlasten können und für mehr Sicherheit sorgen. Aufklärungsaktionen können dazu beitragen, die Bedeutung einer guten Passworthygiene zu vermitteln.

  • Integration von Passwort-Salting in die Sicherheitsrichtlinien von Unternehmen

Password-Salting sollte Teil der breiteren Sicherheitsstrategie Ihres Unternehmens sein. Unternehmen sollten die nötigen Maßnahmen ergreifen und Richtlinien einführen, die vorschreiben, dass Passwort-Salts für jeden Benutzer eindeutig sein müssen, und dafür sorgen, dass sie sicher gespeichert werden.

  • Verwendung eines zuverlässigen Passwortmanagers

Ein zuverlässiger Passwort-Manager wie NordPass kann Ihnen das Online-Leben erheblich erleichtern. Tools wie NordPass speichern Ihre Passwörter sowie andere sensible Daten wie persönliche Informationen, Kreditkarten und Dateien auf sichere und zuverlässige Weise. Für Unternehmen kann ein Passwort-Manager wie NordPass Business die allgemeine Sicherheitslage erheblich verbessern, die Einhaltung von Vorschriften erleichtern und generell das Risiko eines unbefugten Zugriffs verringern.

Häufig gestellte Fragen (FAQ)

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.