Wenn du verschiedene Passwort-Manager vergleichst oder nach Passwortsicherheit suchst, wirst du schnell auf Begriffe wie Hashing und Salting stoßen. Auch wenn diese Begriffe wie Schritte zur Zubereitung von Frühstückskartoffeln klingen, sind sie tatsächlich Prozesse, die essenziell für die Sicherung jedes Online-Kontos sind.
Dieser Artikel erklärt, was Passwort-Hashing und Salting bedeuten, wie sie funktionieren und warum sie notwendig sind.
Wie wir Passwörter bei Proton sichern
Passwort-Hashing
Hashing ist eine Methode, um Informationen in eine festgelegte Länge von Buchstaben und Zahlen zu verschlüsseln. Du kannst unverschlüsselte Informationen wie ein Passwort, Bild oder ein ganzes Buch nehmen und sie in eine Hash-Funktion eingeben, die diese Informationen in einen Hash-Wert mit einer bestimmten Anzahl von Zeichen umwandelt. Zum Beispiel erzeugt SHA-256, eine der am häufigsten verwendeten Hash-Funktionen, immer 256-Bit (32-Byte) Hash-Werte.
Erstelle deine eigenen Hash-Werte(new window)
Neben der Erstellung eines Produkts von fester Länge gibt es zwei weitere Dinge, die Hashing von herkömmlicher Verschlüsselung unterscheiden. Hashing ist:
- Unumkehrbar — Du kannst einen Hash-Wert nicht „rückgängig machen“ (oder die ursprünglichen Informationen wiederherstellen), egal was du tust.
- Deterministisch — Wenn du die gleichen Eingabeinformationen in eine Hash-Funktion eingibst, wird sie jedes Mal den gleichen Hash-Wert zurückgeben.
- Unvorhersehbar — Es sollte fast unmöglich sein, den resultierenden Hash-Wert für eine beliebige Eingabeinformation vorherzusagen. Tatsächlich, wenn du einen Hash-Wert nehmen und leicht die Eingabe erraten oder erstellen kannst, die diesen Hash-Wert erzeugen würde, dann sollte diese Hash-Funktion als anfällig betrachtet und vermieden werden.
Diese drei Eigenschaften machen Hashing zu einer guten Möglichkeit, Passwörter sicher zu speichern und zu überprüfen.
Hashing, Passwortspeicherung und Passwortauthentifizierung
Wenn du ein neues Online-Konto erstellst, gibst du in der Regel einen Benutzernamen (normalerweise deine E-Mail-Adresse) an und erstellst ein Passwort. Das ermöglicht dem Dienst zu erkennen, wer du bist, und zu überprüfen, ob du es wirklich bist.
Aber das Passwort stellt die Dienstanbieter vor ein schwieriges Problem. Sie haben im Wesentlichen drei Möglichkeiten. Sie können dein Passwort im Klartext, verschlüsselt oder gehasht speichern.
Es braucht keinen Cybersicherheitsexperten, um die Probleme beim Speichern von Passwörtern im Klartext zu erkennen. Dies würde dem Dienst ermöglichen, auf dein Konto zuzugreifen, wann immer er will, und dein Passwort wäre bei einem Sicherheitsvorfall offen zugänglich.
Verschlüsselung funktioniert auch nicht. Wenn ein Service ein Passwort mit Schlüsseln verschlüsselt, die er selbst kontrolliert, kann er dennoch jederzeit auf dein Passwort zugreifen (und es möglicherweise bei einer Verletzung der Datensicherheit offenlegen). Und er kann dein Passwort nicht mit einem Schlüssel verschlüsseln, den er nicht kontrolliert (z. B. einem Schlüssel auf deinem Gerät), da dies nicht erlaubt, zu verifizieren, dass dein Passwort bei der Anmeldung korrekt ist.
Hashing ist ein guter Kompromiss. Da Hashing unumkehrbar ist, können Dienste dein Passwort speichern und ihren Nutzern versichern, dass sie keinen Zugang zu ihren Konten haben und dass die Passwörter bei einem Sicherheitsvorfall sicher sind.
Und da Hashing deterministisch ist, kann ein Dienst ein Passwort überprüfen, indem er die beiden Hash-Werte vergleicht. Wenn die Hash-Werte übereinstimmen, weiß der Dienst, dass die Eingabeinformationen (die Passwörter) übereinstimmen, auch wenn der Dienst das tatsächliche Passwort nicht kennt.
Es ist ein cleveres System, aber Hashing hat ein Problem mit Vorhersehbarkeit. Wenn du annimmst, dass eines der häufigsten Passwörter für jeden Dienst „password“ ist? Mit dieser Information kannst du wahrscheinlich die Konten finden, die „password“ verwenden, einfach indem du die am häufigsten wiederholten Hash-Werte ansiehst.
Tatsächlich gibt es einen Cyberangriff, der darauf abzielt, Hashes mit sogenannten Rainbow-Tabellen zu knacken. Diese erstellen Hashes und versuchen, die Regeln, die sie steuern, in großen Tabellen zu verstehen. Sie sind genau deshalb so effektiv, weil Hashes vorhersehbar sind.
Passwort Salting
Um die Vorhersagbarkeit einer Hash-Funktion zu minimieren, verwenden Programmierer Salting. Salting ist eine Technik, die die vorhersehbare Hash-Funktion mit zusätzlicher „Würze“ versieht – daher der Begriff „Salz“ – in Form von Unvorhersehbarkeit. Ein Salt ist eine kurze Zeichenfolge aus zufälligen Zeichen, die jedem Passwort hinzugefügt wird, bevor es gehasht wird.
Was ein Salt besonders macht, ist, dass jedes für jeden Benutzer einzigartig ist. Wenn du ein Passwort bei einem Dienst erstellst, wird ihm ein Salt zugewiesen, das sonst niemand hat. Wenn du dein Passwort änderst, verwenden einige Dienste ein neues Salt dazu. Dies stellt im Wesentlichen sicher, dass kein Passwort (und damit kein Hash-Wert) je wiederholt wird, solange für jedes neue Passwort ein neuer, zufälliger Salt-Wert verwendet wird.
Das macht die Aufgabe für jeden potenziellen Angreifer viel schwieriger. Ihre Rainbow-Tabellen sind nutzlos, da Salting die Hash-Werte unvorhersehbar macht. Es bleibt nur sicherzustellen, dass dein Passwort zufällig genug ist, um jegliche Wörterbuchangriffe abzuwehren.
Wie wir Passwörter bei Proton sichern
Bei Proton stehen die Privatsphäre und Sicherheit unserer Nutzer an erster Stelle. Wir senden dein Passwort niemals an unsere Server und verlassen uns stattdessen auf das Secure Remote Password (SRP) Protokoll. SRP erlaubt es einem Nutzer, sich beim Server (und umgekehrt) zu authentifizieren, indem er beweist, dass er das Passwort kennt, ohne das Passwort selbst oder Informationen, die ein Angreifer zur Ableitung des Passworts verwenden könnte (wie beispielsweise eine Hash-Summe), zu teilen. Dein Passwort bleibt auf deinem Gerät sicher.
Erfahre mehr darüber, wie Proton SRP verwendet
Wir verwenden Hashing und Salting, aber für deine Account-Schlüssel. Sobald du dich erfolgreich einloggst, sendet Proton deine Kontoschlüssel an deinen Client. Dein Client salzt und hasht dann dein Passwort mit bcrypt und verwendet den resultierenden Hash-Wert als Schlüssel, um deinen Kontoschlüssel zu entschlüsseln. Sobald dein Kontoschlüssel entschlüsselt ist, kann er verwendet werden, um auf deine E-Mails, Kalender, etc. zuzugreifen. Dieser Prozess passiert lokal auf deinem Gerät, sodass dein Passwort und Hash dieses nie verlassen.
Du kannst dieses Schutzniveau auch auf deine anderen Konten erweitern mit Proton Pass, unserem Ende-zu-Ende-verschlüsselten Passwortmanager.
Wie du in unserer vollständigen Übersicht des Proton Pass Sicherheitsmodells lesen kannst, wir Ende-zu-Ende-verschlüsseln deine Passwörter einzeln sowie die Tresore, in denen du sie speicherst, um zu verhindern, dass jemand, einschließlich uns, deine Daten während des Übertragungsprozesses sehen kann.
Wir können diese Art von erhöhter Sicherheit anbieten, weil wir vollständig von dir, unseren Nutzern, finanziert werden. Ohne Aktionäre oder Risikokapitalgeber, um die wir uns sorgen müssten, können wir uns darauf konzentrieren, Werkzeuge zu entwickeln, die das Beste in Sachen Sicherheit und Benutzerfreundlichkeit bieten, ohne Kosten oder Abstriche zu machen.
Das Ergebnis ist ein Service, der dich an erster Stelle setzt, sei es durch die beste Verschlüsselungstechnologie oder das Angebot einer erstklassigen Benutzeroberfläche. Wenn das nach etwas klingt, das du selbst ausprobieren möchtest, tritt Proton Pass bei noch heute.
