Sicherheit bei der Speicherung von Passwörtern
Diesen Artikel drucken Diesen Artikel als PDF speichern

Sicherheit bei der Speicherung von Passwörtern?

Bei spektakulären Angriffen auf große Onlinedienste (Sony, last.fm, LinkedIn) sind in den letzten Jahren riesige Mengen an Passwörtern in die Hände von zwielichtigen Gestalten gelangt. In manchen Fällen waren die Passwörter in den Datenbanken als Klartext gespeichert, in anderen einwegverschlüsselt mit der md5-Funktion. An sich hätten die Angreifer in allen Fällen auch vollen Zugriff auf die Konten erlangen können, wenn sie dies gewollt hätten. Warum sind gerade die Passwörter so interessant? Ganz einfach: viele Benutzer verwenden für verschiedene Dienste dasselbe Passwort und es entsteht ein erheblicher Schaden, wenn ein Angreifer damit auf das Amazon-Konto oder gar den PayPal-Account des Opfers zugreifen kann.

Kleiner Exkurs zum Thema Einwegverschlüsselung

Die Einwegverschlüsselung beruht auf mathematischen Rechenvorschriften die vergleichsweise leicht zu berechnen sind aber nur schwer umkehrbar sind. Ein sehr vereinfachtes Beispiel:
Das Passwort sei 87361325. Man teilt die Zahl in Zweiergruppen und bildet dann jeweils die Summe:
87 + 36 + 13 + 25 = 161. Dieses Ergebnis ist nun der Hashwert der zur Prüfung der Eingabe verwendet wird. Aus dieser Zahl die Ausgangswerte zu berechnen ist unmöglich und nur durch 'ausprobieren' zu bewerkstelligen.


Während bis vor wenigen Jahren die Einwegverschlüsselung mit md5 oder sha1 noch als recht sicher galt, ist es heute mit überschaubarem Hardwareaufwand möglich, viele Milliarden Passwörter pro Sekunde (!) auf ihren md5-Hash zu testen. Dabei wird das sogenannte Brute-Force-Verfahren von einer großen Datenbank an realen Passwörtern sowie anderen Wörterbüchern und sonstigen sinnvollen Regeln für das Speichern von Passwörtern unterstützt.

Aus diesem Grund wurden Verschlüsselungsverfahren entwickelt, die Angriffen ungleich länger standhalten können. So liegt die 'Probierrate' beispielsweise mit bcrypt verschlüsselten Passwörtern bei wenigen Tausend pro Sekunde. Bei der Authentifizierung merkt der Benutzer freilich nichts von der erhöhten Sicherheit. Ein Millisekunde zur Prüfung des Passworts spielen beim Anmeldevorgang (insbesondere im Web) keine Rolle.

safer-print verwendet für die Speicherung der Kundenpasswörter genau dieses bcrypt-Verfahren. Somit kann man derzeit davon ausgehen, dass sinnvolle Passwörter (Buchstaben-, Zahlen-, Sonderzeichenkombination, mindestens 8 Zeichen) einen wirksamen Schutz ergeben. Dennoch empfiehlt sich immer für jeden Dienst ein eigenes Passwort zu verwenden.

Jederzeit gerne wieder! Ganz hervorragender Service! Danke
sicher zahlen bei safer-print.de:        

Profidatencheck inklusive

Gute Daten, beste Ergebnisse!

Profidatencheck

Bei safer-print.de sind Sie was Ihre Druckdaten angeht, immer auf der sicheren Seite.

SERVICE: Unser Profidatencheck ist für Sie völlig kosten­frei, egal ob es sich um einen zweiseitigen Flyer oder um eine 156-seitige Broschüre handelt!

NEU: Wanddesign

Standplott inklusive

Der safer-print.de
Newsletter …

informiert Sie über aktuelle
Angebote und Neuheiten!