Wie sicher sind Passwort-Hashes?

Neulich schrieben wir hier im Blog zum Thema Passwortspeicherung: „Aus dem gespeicherten Hash kann man nur sehr schwer wieder das ursprüngliche Passwort ermitteln, so schwer, dass es praktisch unmöglich ist.“ Später berichteten wir über einen Angriff, bei dem ein spezieller Crack-Server zum Einsatz kam. Der brauchte nur eine halbe Stunde, um ein gehashtes Passwort zu knacken. Wie erklärt sich dieser Widerspruch?

Sind Passwort-Hashes sicher oder nicht? Der Teufel steckt wie immer im Detail, und – wie in der IT-Security oft – in der Implementierung. Passwort-Hashes sind sicher, wenn sie fehlerfrei implementiert sind und aktuelle Algorithmen verwenden. Das Ziel der verschiedenen Techniken ist immer, den Aufwand für Angreifer in astronomische Höhen zu treiben, ohne die Geduld der legitimen Benutzer zu sehr zu strapazieren. Die Passwörter, die der Crack-Server so schnell entschlüsseln konnte, waren mit dem Algorithmus SHA-1 verschlüsselt. Dieser gilt jedoch schon seit längerer Zeit als gebrochen. Wären im gleichen Szenario die Passwörter mit einem aktuellen Algorithmus verschlüsselt gewesen, wärden die Angreifer heute noch auf die Ergebnisse ihres Crack-Servers warten.

Die c´t schreibt zu diesem Thema: „Damit sich Hacker die Zähne an Passwörtern ausbeißen, müssen Webseitenbetreiber diese mit Verfahren wie brcrypt oder PBKDF2 speichern.“ Zur Sicherheit der verschiedenen Hashing-Verfahren stellt das im Ruhrgebiet ansässige Institut für Internet-Sicherheit eine schöne Infografik zur Verfügung. Darin sind viele Details, auf die es bei Passwort-Hashes ankommt, übersichtlich dargestellt. Wie Sie alle diese Details in Ihrer individuellen IT-Umgebung optimal implementieren, dazu beraten wir Sie gerne.