Bei der Passwortsicherheit gilt: Je mehr Sicherheitsebenen dein persönliches oder geschäftliches Sicherheitssystem bietet, desto besser. Dabei gibt es keinen hundertprozentig sicheren Online-Dienst; denn niemand kann wissen, welche böswilligen Taktiken Hacker möglicherweise einsetzen, um Zugang zu deinen Konten zu erhalten. Ein Passwort-Pepper ist eine weitere zusätzliche Sicherheitsebene, die dich vor Brute-Force-Angriffen, Wörterbuch-Angriffen und Rainbow-Table-Angriffen schützt. Hier erfährst du, was ein Passwort-Pepper eigentlich ist, wie er funktioniert und wie du damit deine Cybersicherheit verbessern kannst.
Inhalt:
Was ist ein Passwort-Pepper?
Ein Passwort-Pepper (oder das Passwort-Peppering, wie es manchmal auch genannt wird), ist strikt mit dem Passwort-Hashing- Prozess verbunden. Websites speichern die Passwörter ihrer Benutzer nicht als Klartext, da sie dann jeder einsehen könnte, der Zugang zur entsprechenden Klartext-Datei hat. In den meisten Fällen werden die Passwörter der Benutzer gehasht: Dabei werden sie von Verschlüsselungsalgorithmen in komplizierte Zeichenfolgen umgewandelt. Selbst wenn es bei der Datenbank einer Website zu einer Datenpanne kommt, müssen die Hacker dann die Hashes entschlüsseln, um sich die Anmeldeinformationen der Benutzer zu verschaffen.
Ein Pepper ist dabei ein geheimer Wert, eine zufällige Zeichenfolge, die dem Passwort vor dem Hashing hinzugefügt wird. Anders als Salt, ein anderes kryptographisches Verfahren, das dein Passwort um eine zusätzliche Sicherheitsebene ergänzt, verändert sich Pepper nicht. Genau wie die Geheimzutat eines Kochs bleibt sie bei allen Gerichten gleich: in den Online-Konten der Benutzer oder, wenn sie Teil des Quellcodes ist, über die Datenbanken der Benutzer hinweg.
Wie funktioniert Passwort-Peppering?
Der Passwort-Pepper verändert den Wert, der gehasht wird, wodurch ein modifizierter und sichererer Passwort-Hash entsteht. Der Pepper kann in den Quellcode der Website fest eincodiert oder vom privaten oder geschäftlichen Benutzer manuell hinzugefügt werden.
Im ersten Fall wählt der Inhaber der Online-Plattform den Pepper aus und übernimmt damit die Verantwortung für die Stärke und Sicherheit des Codes. In der gesamten Datenbank der Website wird dann der gleiche Pepper verwendet, und es gibt keine individuellen Passwort-Pepper für die Benutzer. Kommt es zu einer Datenpanne, könnte ein fest eincodierter Pepper aber mehr Ärger verursachen, als er Nutzen stiftet. Denn wenn Cyberkriminelle Zugang zum Quellcode erhalten, könnten sie den Pepper ziemlich schnell entdecken, wodurch die gehashten Passwörter kompromittiert werden könnten. Die Änderung des Peppers, der Gegenstand eines Datenlecks war, würde in diesem Kontext auch eine Änderung des Quellcodes und damit die erneute Bereitstellung der Anwendung erforderlich machen, was natürlich äußerst umständlich ist.
Aus den oben genannten Gründen konzentrieren wir uns deshalb auf den zweiten Fall: das manuelle Peppern von Passwörtern. Dazu muss zunächst ein starker zufälliger Code generiert werden – dafür kannst du unseren Passwort-Generator verwenden. Dieser Code muss dann sicher und getrennt von deinen Anmeldeinformationen gespeichert werden. Wenn du deine Anmeldedaten um einen Pepper ergänzt, musst du dir deinen Geheimcode auch dann noch merken, wenn du einen widerstandsfähigen Passwort-Manager wie NordPass verwendest, oder ihn zumindest an einem anderen sicheren Ort aufbewahren.
Mit Passwort-Peppering die Sicherheit im Internet verbessern
Mithilfe von Passwort-Peppering kannst du deine Konten für den Fall schützen, dass deine Passwörter einmal kompromittiert werden. Durch die zunehmende Cyberkriminalität – die derzeit lukrativste kriminelle Aktivität überhaupt – wird deutlich, dass man nie vorsichtig genug sein oder zu viele Schutzebenen nutzen kann. Kein Dienstanbieter im Internet ist zu 100 % vor Datenpannen gefeit: Das hat LastPass Ende 2022 auf die harte Tour gelernt hat.
Ein Pepper muss deinen Passwörtern manuell hinzugefügt werden, wodurch du mehr Zeit benötigst, um auf deine Konten zuzugreifen. Das kann ein bisschen nerven – vor allem wenn du dich schon an einen nahtlosen Anmeldeprozess gewöhnt hast. Dafür kannst du dich jedoch auf jeden Fall sicherer durch das Internet bewegen.
Menschen sind Gewohnheitstiere und neigen deshalb dazu, allzu anspruchsvolle Sicherheitspraktiken bald wieder sein zu lassen. Deshalb empfehlen wir dir nicht, all deine Passwörter mit einem Pepper zu versehen – sondern nur die wichtigsten. So funktioniert’s:
Erstelle einen starken und komplexen Pepper, der dir leicht im Gedächtnis bleiben wird.
Dabei kannst du dir einen Pepper als Passwort vorstellen: je länger und komplexer, desto besser. Er soll möglichst zufällig sein und am besten viele unterschiedliche Symbole enthalten. Treib es dabei jedoch nicht zu weit; denn dein Pepper bleibt am sichersten, wenn du ihn auswendig kennst!
Erstelle dein „Basispasswort“ und speichere es in deinem Passwort-Manager.
Erstelle eine komplexe Zeichenfolge mit einem Passwort-Generator: Nennen wir sie „dein Basispasswort“. Speichere es nun im verschlüsselten Tresor deines Passwort-Managers.
Füge deinen Passwort-Pepper hinzu und aktualisiere die Passwörter deiner wichtigsten Konten.
Sobald du dein Basispasswort erstellt hast, fügst du den Pepper hinzu – das ist dann dein tatsächliches neues Passwort. Aktualisiere damit deine wichtigsten Konten. Bei jedem Anmeldevorgang musst du nun jedes Mal noch deinen Pepper hinzufügen, um auf das jeweilige Konto zuzugreifen.
Hinweis: Du kannst den Pepper an einer beliebigen Stelle in der Zeichenfolge einfügen, die dein Basispasswort darstellt. Am besten fügst du ihn aber am Anfang oder Ende deines Basispassworts ein, damit es nicht zu kompliziert wird.
Speichere deinen Pepper nicht im Tresor deines Passwort-Managers.
Das Wichtige beim Peppering deiner Passwörter ist, dass du nicht alles auf eine Karte setzt. Daher wäre es unsinnig, auch deinen Geheimcode in deinem Passwort-Manager-Tresor aufzubewahren. Denn wenn deine Passwörter bei einem Datenleck auftauchen, ist dann auch gleich der Pepper davon betroffen. Damit Passwort-Peppering funktioniern kann, musst du deinen Pepper an einem anderen Ort sicher aufbewahren – am besten in deinem Kopf.
Passwort-Peppering aus Unternehmenssicht
Aus Unternehmenssicht kann Passwort-Peppering mehr Ärger verursachen, als es nützt. Es kann die Zusammenarbeit und den Informationsaustausch von Teams stören, die Zeit für die Abarbeitung von Aufgaben verlängern, die leicht automatisiert werden könnten, und die Ergebnisse von Compliance- und Passwortsicherheitsaudits durcheinander bringen.
Sehen wir uns stattdessen andere Sicherheitsmaßnahmen an, die für das Unternehmensumfeld besser geeignet sind. Im Gegensatz zum Passwort-Peppering fördern sie eine größtmögliche Transparenz und ermöglichen eine sofortige Reaktion auf Cyber-Bedrohungen.
Passwort-Richtlinien
Die Passwort-Richtlinie stellt eine Reihe von Regeln und Vorschriften zum Erstellen und Verwalten von Passwörtern in der Organisation dar. Sie informiert die Mitarbeiter darüber, wie lang ihre Passwörter sein sollten, welche Zeichen sie enthalten müssen und wie oft sie geändert werden sollen. Wenn sie direkt automatisch vom Passwort-Manager des Unternehmens durchgesetzt werden, erhalten die Administratoren von Unternehmensnetzwerken mithilfe von Passwort-Richtlinien die Kontrolle über jedes Passwort, das im Unternehmen verwendet wird.
Passwortqualität
Mithilfe von Daten zur Passwortqualität behältst du den Überblick über die vulnerablen Passwörter deines Unternehmens. Diese NordPass- Passwortqualität Funktion bietet Einblicke in schwache, über 90 Tage alte und mehrfach verwendete Passwörter, die die Mitarbeiter des Unternehmens nutzen. Dadurch kann das Risiko von Datenpannen im Zusammenhang mit schwachen Passwörtern schon im voraus vermieden werden, anstatt dass nach einem erfolgreichen Hackerangriff die Folgen begrenzt werden müssen.
Datenleck-Scanner
Datenleck-Scanner Diese Funktion informiert dich in Echtzeit über alle Datenlecks im Zusammenhang mit den E-Mails und Domains deines Unternehmens. Sie kann laut dem Datensicherheitsbericht von IBM im Jahr 2023 ein echter Game-Changer sein, denn Unternehmen benötigen durchschnittlich 277 Tage, um eine Datenpanne zu identifizieren und einzudämmen. Wenn du sofort auf den Sicherheitsvorfall reagierst, stehen die Chancen gut, dass die Cyberkriminellen noch nicht genug Zeit hatten, um ihre erbeuteten Informationen gegen dein Unternehmen zu verwenden.
Trends bei der Passwortsicherheit
Die Passwortsicherheit verändert sich derzeit massiv. Wir erleben derzeit einen Wandel hin zu einer benutzerfreundlicheren und sichereren Authentifizierungsmethode: Passkeys gespeichert haben. Mithilfe von Passkeys kannst du mit derselben Methode auf deine Konten im Internet zugreifen, mit der du auch dein Smartphone entsperrst – mit deinem Fingerabdruck oder der Gesichtserkennung. Diese neue Technologie kombiniert eine biometrische Verifizierung mit kryptografischen Schlüsseln und reduziert so das Risiko von Phishing, Brute-Force-Angriffen und anderen Cyber-Bedrohungen.
Einige der größten Tech-Giganten – darunter Amazon, Apple, Googleund Meta sind bereits der FIDO-Allianzbeigetreten, einem Branchenverband, der gegründet wurde, um „das Passwortproblem der ganzen Welt zu lösen.“ NordPass wirkt ebenfalls an FIDO mit und wirbt zusammen mit den anderen Mitgliedern aktiv für Passkeys und macht sie für die Benutzer zugänglich. Aus diesem Grund bietet dir unser Passwort-Manager eine Möglichkeit, um deine Passwörter sicher zu speichern, auf sie zuzugreifen und sie mit anderen zu teilen.
Häufig gestellte Fragen (FAQ)
Sowohl Pepper als auch Salt sind Begriffe aus der Kryptographie, die Sicherheitspraktiken beschreiben, welche das Ziel haben, die Sicherheit eines Passworts zu erhöhen (indem sie es komplexer machen), bevor es den Hashing-Prozess durchläuft (bei dem es in einen Code umgewandelt wird).
Pepper ist ein geheimer Wert oder – um in der Küchensprache zu bleiben – eine geheime Zutat, die dem Passwort hinzugegeben wird. Es ist statisch: Es bleibt für alle Passwörter im jeweiligen System gleich. Nur du solltest diese Geheimzutat kennen: Niemals darf sie zusammen mit den Hash-Werten oder Passwörtern gespeichert werden.
Salt ist eine zufällige Zeichenkette, die dem Passwort hinzugegeben wird, bevor sie von einem Algorithmus gehasht wird. Im Gegensatz zum Passwort-Pepper unterscheidet sie sich jedoch von Benutzer zu Benutzer. Selbst wenn zwei Personen auf einer Website das gleiche Passwort nutzen, werden für sie mit Salt unterschiedliche Hashes (Codes) generiert.
Nein. Ein Passwort-Pepper kann deine Sicherheit im Internet erhöhen, ersetzt jedoch keine Sicherheitsmaßnahmen wie das Speichern deiner Passwörter in einem verschlüsselten Tresor oder eine zuverlässige Antivirensoftware.
Ja, der Passwort-Pepper eignet sich für den persönlichen Gebrauch. Du kannst deinen Pepper – ein geheimes Code-Bit – erstellen und ihn zu Basispasswörtern oder einzelnen Teilen von Passwörtern hinzufügen, die auf den Websites, auf die du zugreifst, oder im Tresor deines Passwort-Managers gespeichert sind. Dabei gilt die Formel: „Basispasswort + Pepper = tatsächliches Passwort“.
Obwohl dich dieser Prozess vor möglichen Datenpannen im Zusammenhang mit deinen Passwörtern schützt, muss er manuell durchgeführt werden, was den Zugang zu deinen Konten behindern kann. Aus diesem Grund empfehlen wir dir nur, deine wertvollsten Konten, z. B. dein E-Mail- oder Online-Banking-Konto, mit einem Passwort-Pepper zu versehen.