Ein gutes Passwort kann im Falle eines Datenmissbrauchs viel zum Schutz deiner Daten beitragen. Doch selbst wenn du ein 20-stelliges zufälliges Passwort mit Symbolen und Zahlen erstellst, liegt die Sicherheit deiner Anmeldedaten irgendwann nicht mehr in deiner Hand. Alles hängt davon ab, wie der Serviceanbieter deine Passwörter speichert.
Inhalt
Wir haben bereits darüber gesprochen, warum es schlecht ist, Passwörter im Klartext zu speichern – um auch nur die grundlegendsten Sicherheitskriterien zu erfüllen, müssen sie gehasht werden. Doch das ist ein ständiges Katz- und Mausspiel zwischen Hackern und Cybersicherheitsexperten. Mit jedem Datenschutzverstoß werden die Kriminellen besser darin, gehashte Passwörter zu knacken, sodass Kryptographen jetzt eine zusätzliche Sicherheitsmaßnahme verwenden – Salts.
Was ist ein Password Salt?
Deine Passwörter werden normalerweise nicht im Klartext gespeichert. Wenn du dich bei deinem Konto anmeldest, durchläuft das Passwort einen Einweg-Hashing-Algorithmus. Auf diese Weise wird es in eine unerkennbare, völlig andere Zeichenfolge verwandelt. Diese Zeichenkette wird dann mit den anderen Hashes in der Datenbank verglichen, und wenn sie übereinstimmen, erhältst du Zugang zu deinem Konto.
Das mag zwar wie eine sichere Methode zum Speichern von Passwörtern aussehen, aber es gibt ein Problem. Wenn zwei Passwörter gleich sind, ist auch ihr Hash identisch, wodurch sie leichter zu knacken sind. An dieser Stelle kommt das Password Salting ins Spiel. Ein Passwort-Salting ist ein zufälliges Datenbit, das dem Passwort hinzugefügt wird, bevor es den Hash-Algorithmus durchläuft.
Stell dir vor, dein Passwort ist „gelb“. Wenn ein anderer Nutzer dasselbe Passwort hat, ist die Hash-Ausgabe dieselbe. Wenn du aber ein paar zufällige Zeichen zu beiden hinzufügst, erhältst du zwei verschiedene Passwörter – ‘yellow#1Gn%’ und ‘yellow9j?L’ – mit völlig unterschiedlichen Hashes. Aber wie werden sie dadurch schwieriger zu knacken?
Angriffe auf Unsalted Passwords (ungesalzene Passwörter)
Im Laufe der Jahre haben Cyberkriminelle eine Vielzahl von Methoden entwickelt, um Millionen von gehashten Passwörtern zu knacken. Mit jedem Datenmissbrauch werden diese Methoden noch besser. Es gibt drei Hauptmethoden, um ein Hash-Passwort ohne Salt-Verschlüsselung zu knacken.
Brute-Force Brute-force könnte man als die einfachste Methode bezeichnen, um gehashte Passwörter zu knacken. Es geht darum, jede mögliche Passwortkombination zu erraten und sie dann durch einen Hash-Algorithmus laufen zu lassen. Sobald eine Übereinstimmung vorliegt, kennt man das ursprüngliche Passwort. Brute Force funktioniert am besten mit kürzeren Zeichenkombinationen. Je länger die Passwörter sind, desto mehr Rechenleistung ist nötig, um sie zu knacken.
Wörterbuchangriffe. Ein wörterbuchangriff ist eine ausgefeiltere Version von Brute-Force. Aber anstatt völlig willkürlich zu raten, versucht der Computer die häufigsten Wörter und Zeichenkombinationen für Passwörter. Das ist der Grund, warum Wörterbuchangriffe mit jeder Sicherheitslücke besser werden – jedes Mal lernen die Kriminellen mehr darüber, wie wir unsere Passwörter erstellen.
Rainbow Tables. Rainbow Tables sind vorberechnete Datenbanken mit entschlüsselten Hash-Passwörtern. Ein Hacker kann also einfach die Datenbank durchsuchen, um den gewünschten Hash zu erhalten. Genau wie bei Wörterbuchangriffen werden die Rainbow Tables mit jeder Datenverletzung größer.
Passwortangriffe mit Salt abwehren
Wie also bekämpfen Sicherheitsexperten diese Angriffe? In erster Linie, indem sie die neuesten und sichersten Hashing-Algorithmen verwenden. Hash-Funktionen wie MD5 und SHA-1 gelten im Allgemeinen als knackbar – bcrypt und SHA-2 sind die sicherere Wahl. Die neuesten Algorithmen verschlüsseln Passwörter mehrfach, damit sie schwerer zu knacken sind.
Zusätzlich zu den sicheren Funktionen ist die Verwendung eines Salted Hashes ein Muss. Ein Salted Password, das mit einem sicheren Algorithmus gehasht wurde, ist fast unmöglich zu knacken. Das heißt aber nicht, dass deine Passwörter völlig sicher sind. Du kannst nicht zu 100 % sicher sein, wie deine Dienstanbieter Passwörter speichern. Befolge daher immer die besten Sicherheitspraktiken: Erstelle wirklich zufällige Passwörter, verwende deine Zugangsdaten nie für verschiedene Konten und ändere dein Passwort sofort nach einer Datenschutzverletzung.