Warum Websites Salz auf ihre Hashes streuen sollten, um Ihre Passwörter zu schützen

[ware_item id=33][/ware_item]

Warum Websites Salz auf ihre Hashes streuen sollten, um Ihre Passwörter zu schützen


Trotz ihrer Mängel sind Kennwörter immer noch der De-facto-Standard für die Authentifizierung im Internet.

ExpressVPN hat bereits über die Vorteile des Erstellens sicherer Kennwörter mit Diceware, der Verwendung von Kennwortmanagern und des Aufbaus einer weiteren Sicherheitsebene für Ihre Konten mit Zwei-Faktor-Authentifizierung berichtet.

Aber was passiert hinter den Kulissen? Welche Maßnahmen kann und sollte ein Website-Betreiber ergreifen, um Ihre Passwörter zu sichern??

Die Geburt des Computerhacks

Das erste Computersystem, das Kennwörter verwendete, war das Compatible Time-Sharing-System am Massachusetts Institute of Technology, das 1960 gebaut wurde. Durch Time-Sharing konnte der Computer partitioniert und als mehrere Workstations verwendet werden.

Es gab jedoch mehr Forscher als Workstations, und den Benutzern wurde nur eine begrenzte Zeit auf dem System zugewiesen (was einige recht schnell erschöpfte). Um sicherzustellen, dass sich die Forscher innerhalb ihrer Grenzen bewegten, wurde jedem ein eindeutiges Kennwort zugewiesen, mit dem sie sich anmelden konnten.

Aber mit den ersten Passwörtern kam natürlich der erste Hacker. Ein Forscher, Allan Scherr, benutzte ein System, mit dem Benutzer Dateien über Lochkarten ausdrucken konnten (Computer hatten in den 1960er Jahren keine Bildschirme). Scherr lokalisierte und druckte die Datei, in der die Passwörter gespeichert waren, um sich als andere Benutzer anzumelden und den Computer länger zu nutzen.

Heutzutage wird es als grob fahrlässig angesehen, Passwörter in Klartext auf einem System zu speichern, obwohl der Hack der russischen Social-Media-Site VK.com aus dem Jahr 2016 zeigt, dass einige große Sites dies immer noch tun. Die VK.com-Passwörter von 100 Millionen Benutzern wurden gestohlen und stehen jetzt zum Verkauf.

Warum Hash-Funktionen eine Einbahnstraße sind

Eine Hash-Funktion ist eine Einwegverschlüsselung und ähnelt einem Fingerabdruck. Jede Datei, jedes Wort oder jede Textzeichenfolge wird als Hash-Fingerabdruck bezeichnet, der den genauen Inhalt der Originaldatei eindeutig identifiziert.

Hashes können verwendet werden, um Informationen zu ermitteln, nicht jedoch, was die Daten darstellen. Eine einfache Möglichkeit, sich vorzustellen, wie Hashes funktionieren, sind Ziffernsummen (die Summe aller Ziffern einer Zahl)..

Die Ziffernsumme von 9807347 ist 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Obwohl die Ziffernsumme von 987347 leicht zu erkennen ist, ist es unmöglich, 987347 aus der Zahl 38 zu berechnen.

Sichere Passwörter mit HashesSHA-256-Hashes für verschiedene Textzeichenfolgen und eine Bilddatei.

SHA-256 bietet ein Universum von Permutationen

Unglaublicherweise sind 256 Bit lang genug, um eindeutig identifiziert zu werden jedes einzelne Atom im beobachtbaren Universum (2 ^ 256 = 1,157920892 × 10⁷⁷).

Theoretisch könnte es jedoch zwei verschiedene Werte geben, die denselben SHA-256-Hash haben. Ein solches Ereignis wird als Hash-Kollision bezeichnet, und die Sicherheit jeder Hash-Funktion hängt davon ab, dass sie nicht entdeckt werden können.

Der Vorgänger von SHA-2 (von dem SHA-256 eine Variante ist) - der einst beliebte SHA-1-Algorithmus - ist bekanntermaßen anfällig für Hash-Kollisionen. Obwohl es erwähnenswert ist, hat noch niemand einen gefunden.

Ein weiterer früher beliebter Hash, MD5, wies so viele Sicherheitslücken auf, dass er keinen nützlichen Schutz gegen böswillige Manipulation von Dateien bietet.

Neben der Verschlüsselung von Passwörtern können Hash-Funktionen auch nützlich sein, um sicherzustellen, dass Dateien nicht manipuliert wurden, ähnlich wie bei kryptografischen Signaturen, da eine geänderte Textzeichenfolge den Hash-Schlüssel verändert.

Durch das Speichern von Kennwörtern als Hashes anstelle von Klartext kann überprüft werden, ob ein Kennwort korrekt ist, ohne dass das Kennwort für Hacker anfällig ist.

Salz und Hasch schützt Ihre Passwörter

Wenn jemand in der Lage wäre, eine Datenbank zu hacken, die nur gehashte Passwörter enthält, würde er theoretisch keine nützlichen Informationen erhalten. In der Realität verwenden die Benutzer ihre Passwörter jedoch auf vielen Websites wieder oder verwenden gebräuchliche Wörter, und es gibt viele Möglichkeiten, wie Hacker Hashes knacken können.

Jeder SHA-256-Hash des Wortes ExpressVPN ist auf allen Systemen immer gleich. Wenn Ihr Benutzername also Lexie ist und Sie ExpressVPN als Passwort verwenden (nicht), könnte ein Hacker unter den Passwörtern nach dem Hash „c9f45… 3d185“ suchen, um zu sehen, ob Lexies Passwort ExpressVPN ist.

Obwohl dies für sich genommen nicht besonders hilfreich ist, gibt es Listen mit den wenigen Tausend am häufigsten verwendeten Passwörtern (die wir aus früheren Hacks kennen)..

Mit einer solchen Liste könnte ein Hacker nach den Hashes der gängigen Passwörter suchen und diese mit Benutzernamen abgleichen.

Diese Art von Angriff wird als Regenbogentabelle- oder Wörterbuchangriff bezeichnet. Es ist nicht mehr genug Zeit im Universum, damit ein Angreifer jede mögliche Hash / Passwort-Kombination bei einem Brute-Force-Angriff ausprobieren kann. Es bleibt jedoch genügend Zeit, um die am häufigsten verwendeten Kennwörter auszuprobieren, die wahrscheinlich einen erheblichen Teil der Datenbank gefährden würden.

Salting schützt Passwörter, indem es ihnen eindeutige Nummern zuweist

Zum Schutz vor Wörterbuchangriffen kann ein Datenbankadministrator eine Methode namens "Salting" verwenden, bei der jedem Kennwort eine eindeutige Zufallszahl zugewiesen wird. Anschließend wird ein SHA-256-Hash der Kombination aus Salt und Passwort berechnet, gespeichert und überprüft.

Alternativ könnte das Passwort gehasht, mit der Salt-Nummer kombiniert und das Ergebnis erneut gehasht werden.

Gesalzener Hasch sorgt für zusätzlichen SchutzBeispiele für "gesalzene" Hashes, erneut gehackt.

Aufgrund der Salztechnik ist das Erstellen eines Regenbogentisches nicht mehr attraktiv. Die Zufallszahlen würden jeden Hash eindeutig machen, selbst wenn der Benutzer kein eindeutiges Passwort gewählt hätte.

Wenn ein Hacker Benutzer mit dem Passwort "Passw0rd!" Ansprechen wollte, würde die Salt-Nummer die Datenbank schützen.

Die Zukunft der Passwortsysteme

Passwörter sind für die Online-Authentifizierung alles andere als optimal. Es ist schwer, sich an eine gute zu erinnern, sie ist schwer zu widerrufen, und wenn sie einmal durchgesickert ist, kann sie erheblichen Schaden anrichten.

Passwortmanager können Passwörter benutzerfreundlicher gestalten und Ihnen dabei helfen, eindeutige Passwörter zu erstellen. Sie werden außerdem aufgefordert, Ihre Anmeldeinformationen regelmäßig zu ändern, was für eine gute Online-Sicherheit erforderlich ist.

Vielleicht werden wir in Zukunft auf alternative Authentifizierungsformen umsteigen, z. B. öffentliche / private Schlüsselpaare, die möglicherweise mit Hardwareschlüsseln kombiniert werden. In einem solchen Modell müssten Sie Ihren öffentlichen Schlüssel bei der Anmeldung nur einmal auf einen Server hochladen und dann nie wieder.

Zwar sind Größenordnungen nicht unbedingt sicherer als eine ordnungsgemäß implementierte Kennwortlösung, doch werden Paare aus öffentlichen und privaten Schlüsseln sowohl vom Benutzer als auch vom Dienst mit geringerer Wahrscheinlichkeit falsch angewendet.

Was können Sie tun, um Ihre Passwörter zu sichern?

Beachten Sie, dass viele der Dienste, die Sie heute verwenden, möglicherweise bereits die Kontrolle über Ihre Kennwörter verloren haben. Vielleicht wissen sie es noch nicht, oder sie weigern sich, es öffentlich anzuerkennen - und schützen ihr Image auf Kosten der Sicherheit ihrer Benutzer.

Verwenden Sie einen Zufallskennwortgenerator und ändern Sie Ihre Kennwörter in lange, zufällige Buchstaben- und Zeichenfolgen. Sie können für einige Dienste auch die Zwei-Faktor-Authentifizierung aktivieren, um eine zusätzliche Sicherheitsebene hinzuzufügen.

Es ist auch eine gute Idee, alle Konten zu löschen, die Sie nicht mehr verwenden, in der Hoffnung, dass der Dienst Ihre Benutzerdaten zusammen mit diesen löscht.

Warum Websites Salz auf ihre Hashes streuen sollten, um Ihre Passwörter zu schützen
admin Author
Sorry! The Author has not filled his profile.