Passwörter Begriffe
Zur Navigation springen
Zur Suche springen
Passwort Hashing
- Passwörter werden mittels eines Hashing-Verfahrens in eine festgelegte Codefolge mit zufälligen Zahlen und Buchstaben umgewandelt.
- Die Generierung von Hashes läuft automatisiert über einen Algorithmus ab übersogenannte Hash-Generatoren
- Es gibt unterschiedliche Hashes je nach verwendetem Algorithmus.
- MD5
- SHA256
- SHA512
Salt
- Damit bezeichnet man in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen Klartext vor dessen weiterer Verarbeitung angehängt wird
- Dies geschiehtum die Entropie der Eingabe zu erhöhen.
- Es wird häufig für die Speicherung und Übermittlung von Passwörtern benutzt, um die Informationssicherheit zu erhöhen.
- Wo die Anmeldung über das Internet oder andere Netzwerke erfolgt, werden die Zugangsdaten häufig mit Salts versehen.
- Ein Passwort wird nicht mehr direkt gehasht, sondern es wird zusammen mit dem Salt in die Hashfunktion eingegeben.
- Das Salt ist entweder für alle Benutzer das gleiche, oder es wird für jeden Benutzer bei dessen Kontoerstellung zufällig erzeugt.
- Beim Abfragen des Passwortes bei der Anmeldung muss der Prüffunktion der Saltwert bekannt sein um den selben Hash zu bilden.
Pepper
- Um Wörterbuch- und Brute-Force-Angriffe weiter zu erschweren, kann das Passwort mit einer vom Server gewählten und geheimgehaltenen Zeichenfolge kombiniert werden.
- Diese Zeichenfolge wird Pepper genannt und ist normalerweise für alle Passwörter auf einem Server gleich.
- Wenn der Pepper zusätzlich noch jeweils für jedes Passwort geändert wird, kann die Sicherheit weiter erhöht werden.
- Der Pepper wird nicht in derselben Datenbank gespeichert wie der Hashwert, sondern an einem anderen und möglichst sicheren Ort hinterlegt.
- Erlangt ein Angreifer nur Zugriff auf die Datenbank, so erfährt er zwar immer noch die Hash-Werte, diese stammen aber nun von Kombinationen von Passwort und einem unbekannten Pepper.
- Ein Wörterbuchangriff ist sinnlos, weil kein Wörterbuch zufällig eine der Passwort-Pepper-Kombinationen enthalten wird.
- Auch ein Brute-Force-Angriff wird drastisch erschwert, weil man nicht nur die Passwörter durchprobieren muss, sondern die Kombinationen aus Passwort und Pepper.
Rainbow Tables
- Die Rainbow Table ist eine Datenstruktur, die eine schnelle, speichereffiziente Suche nach der ursprünglichen Zeichenfolgefür einen gegebenen Hashwert ermöglicht.
- Die Suche über eine Rainbow Table ist erheblich schneller als bei der Brute-Force-Methode, allerdings ist der Speicherbedarf höher.
- Solch ein Kompromiss wird Time-Memory Tradeoff genannt.
- Vorausgesetzt wird eine Hashfunktion ohne Salt, wie es beispielsweise bei vielen Routern der Fall ist.
- Vergleichsweise umfangreiche Tabellen wurden für LM Hashes und MD5 berechnet und stehen aus diversen Quellen zur Verfügung.
- Verwendung finden Rainbow Tables bei der Wiederherstellung von Passwörtern, innerhalb der IT-Forensik, bei Penetrationstests und beim Passwortcracken.