Passwort Hashing

• Passwörter werden mittels eines Hashing-Verfahrens in eine festgelegte Codefolge mit zufälligen Zahlen und Buchstaben umgewandelt.
• Die Generierung von Hashes läuft automatisiert über einen Algorithmus ab übersogenannte Hash-Generatoren
• Es gibt unterschiedliche Hashes je nach verwendetem Algorithmus.
• MD5
• SHA256
• SHA512

Salt

• Damit bezeichnet man in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen Klartext vor dessen weiterer Verarbeitung angehängt wird
• Dies geschiehtum die Entropie der Eingabe zu erhöhen.
• Es wird häufig für die Speicherung und Übermittlung von Passwörtern benutzt, um die Informationssicherheit zu erhöhen.
• Wo die Anmeldung über das Internet oder andere Netzwerke erfolgt, werden die Zugangsdaten häufig mit Salts versehen.
• Ein Passwort wird nicht mehr direkt gehasht, sondern es wird zusammen mit dem Salt in die Hashfunktion eingegeben.
• Das Salt ist entweder für alle Benutzer das gleiche, oder es wird für jeden Benutzer bei dessen Kontoerstellung zufällig erzeugt.
• Beim Abfragen des Passwortes bei der Anmeldung muss der Prüffunktion der Saltwert bekannt sein um den selben Hash zu bilden.

Pepper

• Um Wörterbuch- und Brute-Force-Angriffe weiter zu erschweren, kann das Passwort mit einer vom Server gewählten und geheimgehaltenen Zeichenfolge kombiniert werden.
• Diese Zeichenfolge wird Pepper genannt und ist normalerweise für alle Passwörter auf einem Server gleich.
• Wenn der Pepper zusätzlich noch jeweils für jedes Passwort geändert wird, kann die Sicherheit weiter erhöht werden.
• Der Pepper wird nicht in derselben Datenbank gespeichert wie der Hashwert, sondern an einem anderen und möglichst sicheren Ort hinterlegt.
• Erlangt ein Angreifer nur Zugriff auf die Datenbank, so erfährt er zwar immer noch die Hash-Werte, diese stammen aber nun von Kombinationen von Passwort und einem unbekannten Pepper.
• Ein Wörterbuchangriff ist sinnlos, weil kein Wörterbuch zufällig eine der Passwort-Pepper-Kombinationen enthalten wird.
• Auch ein Brute-Force-Angriff wird drastisch erschwert, weil man nicht nur die Passwörter durchprobieren muss, sondern die Kombinationen aus Passwort und Pepper.

Rainbow Tables

• Die Rainbow Table ist eine Datenstruktur, die eine schnelle, speichereffiziente Suche nach der ursprünglichen Zeichenfolgefür einen gegebenen Hashwert ermöglicht.
• Die Suche über eine Rainbow Table ist erheblich schneller als bei der Brute-Force-Methode, allerdings ist der Speicherbedarf höher.
• Solch ein Kompromiss wird Time-Memory Tradeoff genannt.
• Vorausgesetzt wird eine Hashfunktion ohne Salt, wie es beispielsweise bei vielen Routern der Fall ist.
• Vergleichsweise umfangreiche Tabellen wurden für LM Hashes und MD5 berechnet und stehen aus diversen Quellen zur Verfügung.
• Verwendung finden Rainbow Tables bei der Wiederherstellung von Passwörtern, innerhalb der IT-Forensik, bei Penetrationstests und beim Passwortcracken.

Quelle

• https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/passwort-hashing-salted-password-hashing/
• https://de.wikipedia.org/wiki/Salt_(Kryptologie)