• IT-Karriere:
  • Services:

Nicht jedes Passwort ist schon stark gehasht

Wenig aussagekräftig war dabei die Antwort von GMX und Web.de, die zum Internetkonzern 1&1 gehören: "Die Passwörter der Nutzer von Web.de und GMX werden mit unterschiedlichen Sicherheitstechnologien nach aktuell höchsten Industriestandards geschützt. Dabei kommen auch spezielle Hashverfahren zum Einsatz." Aus "Sicherheitsgründen" wollte 1&1 nicht auf Details der eingesetzten Verfahren eingehen. Der Zugang zu diesen "hochsensiblen Informationen" sei ausschließlich einem kleinen Mitarbeiterkreis vorbehalten. Warum die eingesetzten Hashverfahren nicht genannt werden, ist nicht ganz nachvollziehbar. Denn Hacker könnten ohnehin anhand der Hashwerte das Verfahren erkennen.

Stellenmarkt
  1. WITRON Gruppe, Parkstein (Raum Weiden / Oberpfalz)
  2. Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, München

Etwas konkreter antwortete Mailbox.org: Der Dienst bestehe "aus vielen verschiedenen Systemen, so dass wir bei der Auswahl der Hashes darauf achten müssen, dass alle gleichzeitig unterstützt werden. Zudem importiert Mailbox.org häufiger vom Kunden gelieferte Accountdaten mit vorhandenen Hashes des ursprünglichen Systems, die dann erst im Laufe der Zeit bei Passwortänderungen aktualisiert werden. Mailbox.org hat also je nach User verschiedene Hashes."

Gerade der letztgenannte Punkt ist wichtig bei der Passwortsicherheit: Die Hashwerte können im Laufe der Zeit leichter gecrackt werden, wenn das Passwort noch mit einem unsicheren Verfahren gehasht wurde. So wurden beim Hack des Portals Ashley Madison vor allem diejenigen Passwörter gehackt, die vor einer Umstellung des Hashverfahrens auf Bcrypt noch mit MD5 gehasht worden waren. Der Nutzer erfährt von solchen internen Vorgängen in der Regel nichts.

Genauso wenig weiß er normalerweise, ob sein Passwort durch die Umstellung des Hashverfahrens neu gehasht wird. So teilte 1&1 auf Nachfrage mit: "Wird bei einem Login erkannt, dass das Passwort nach einem älteren Verfahren verschlüsselt ist, nimmt unser System ein Update auf das aktuell gültige Hashverfahren vor. So stellen wir sicher, dass die Passwörter unserer Nutzer jederzeit bestmöglich geschützt sind."

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Mailbox.org aktualisiert das Hashverfahren hingegen erst bei einer Änderung des Passwortes. Das habe unter anderem Sicherheitsgründe. So könne der Mailserver (IMAP) die Passwörter aus dem Netzwerkprotokoll LDAP nicht lesen. Zudem könnten Geschäftskunden, die über eine API an die Mailserver angebunden seien, die neuen Hashwerte wieder mit den alten überschreiben.

Sind Hashwerte überhaupt Bestandsdaten?

Ganz anders reagierte Posteo auf unsere Anfrage. Der Dienst verwies auf ein Rechtsgutachten vom Juni 2016 (PDF), das klären sollte, ob Hashwerte überhaupt Bestandsdaten seien und daher herausgegeben werden müssten. Dabei ging es jedoch nicht um Passwörter, sondern um Telefonnummern für die Rücksetzung der Passwörter.

Doch das geplante Gesetz sieht ausdrücklich vor, dass nicht nur Passwörter, sondern auch "andere Daten" herausgegeben werden müssen, mit denen der Zugriff auf Endgeräte und externe Speichereinrichtungen geschützt wird. Der Begriff "andere Daten" wird weder im Gesetzestext noch in der Begründung weiter spezifiziert. Damit wird das bisherige Verständnis von Bestandsdaten stark ausgeweitet. Denn laut Paragraf 14 des Telemediengesetzes (TMG) zählen dazu nur personenbezogene Nutzerdaten, "soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind". Der Salt eines Hashwertes würde sicherlich nicht dazu zählen.

Daher warnte der Bundesdatenschutzbeauftragte Ulrich Kelber in seiner Stellungnahme zum Gesetzentwurf (PDF), dass die Strafverfolgungsbehörden "auch die Herausgabe weiterer Daten erzwingen können, die insbesondere Brute-Force-Entschlüsselungen der übermittelten Passwort-Hashes ermöglichen (z.B. Herausgabe des sog. Pepper-Wertes)".

Neues Rechtsgutachten beauftragt

Unklar sei zudem, "ob sich die Vorschriften auch auf etwaige temporär gespeicherte Session-Cookies o.ä. beziehen, mit denen sich Zugang erlangen lässt". Dafür könnte die Formulierung sprechen, wonach für die Auskunftserteilung "sämtliche unternehmensinternen Datenquellen" zu berücksichtigen sind.

1&1 teilte auf Anfrage mit, dass eine Übergabe von Hashwerten, Salts oder ähnlichen Angaben aktuell nicht verpflichtend sei. "Wir werden eine mögliche gesetzliche Regelung zur Beauskunftung von Hashwerten, Salts oder ähnlichem an Behörden im Detail prüfen", hieß es. Posteo hat nach eigenen Angaben bereits ein neues Rechtsgutachten im Hinblick auf den rechtlichen Status von Zeichenfolgen, die beim Hashen und Salten von Passwörtern entstehen, in Auftrag gegeben. Dieses liege aber noch nicht vor.

Weil die Gefahr besteht, dass die Anbieter künftig nicht nur die Hashwerte, sondern auch Salts und weitere Daten herausgeben müssen, haben wir nachgefragt, ob sie ihre Sicherheitsvorkehrungen beim Passwortschutz erhöhen wollen. Beispielsweise durch andere Hashverfahren oder höhere Vorgaben bei der Mindestlänge.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Hashen ist nicht gleich VerschlüsselnWie lang sollte ein Passwort sein? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote

peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...


Folgen Sie uns
       


VLC-Gründer Jean-Baptiste Kempf im Interview

Wir haben uns mit dem Präsidenten der VideoLAN-Nonprofit-Organisation unterhalten.

VLC-Gründer Jean-Baptiste Kempf im Interview Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /