Abo
  • Services:
Anzeige
Wie sichert man Passwörter am besten ab?
Wie sichert man Passwörter am besten ab? (Bild: Screenshot)

Password Hashing Competition: Hashfunktion Argon2 gewinnt Wettbewerb

Wie sichert man Passwörter am besten ab?
Wie sichert man Passwörter am besten ab? (Bild: Screenshot)

In einem Wettbewerb ist nach neuen Hashfunktionen gesucht worden, die sich für das Hashen von Passwörtern eignen. Jetzt steht der Gewinner fest: Argon2, entwickelt von einem Team an der Universität Luxemburg.

Anzeige

Vor zwei Jahren starteten Kryptographen einen Wettbewerb mit dem Ziel der Entwicklung neuer Hashfunktionen für das sichere Speichern von Passwörtern. Jetzt steht der Gewinner fest: Der Algorithmus Argon2 überzeugte die Jury. Insgesamt 24 Vorschläge waren für den Wettbewerb eingereicht worden.

Argon2 aus 24 Vorschlägen ausgewählt

Jean-Philippe Aumasson, einer der Organisatoren des Wettbewerbs, gab die Wahl von Argon2 in einer Mail bekannt. Vier weitere Algorithmen mit den Namen Catena, Lyra2, Makwa und Yescrypt fand die Jury ebenfalls überzeugend und erwähnte sie in der Bekanntgabe der Ergebnisse.

Argon2 wurde von den Kryptographen Alex Biryukov, Daniel Dinu und Dmitry Khovratovich von der Universität Luxemburg entwickelt. Eine detaillierte Beschreibung des Algorithmus findet man auf deren Webseite, eine Implementierung auf Github. Genutzt werden sollte Argon2 im Moment noch nicht. Die Entwickler des Algorithmus werden zusammen mit den Organisatoren des Wettbewerbs noch kleinere Änderungen vornehmen und entscheiden, wie genau die finale Version umgesetzt werden soll.

Passwort-Hashes sollen in Fällen, in denen Nutzerdatenbanken von Services gestohlen werden, verhindern, dass ein Angreifer sofort Direktzugriff auf alle Passwörter hat. Die Idee dabei: Statt das Passwort selbst zu speichern, wird lediglich ein Hash davon berechnet und auf dem System abgelegt. Bei jedem Login wird das vom Nutzer gesendete Passwort erneut gehasht und mit dem gespeicherten Passwort verglichen.

Falls ein Angreifer an die Passwort-Hashes gelangt, hat er nur die Hashes. Er kann aber trotzdem versuchen, die Passwörter herauszufinden, indem er gängige Passwörter mittels eines Brute-Force-Angriffs ausprobiert. Um das zu erschweren, wird üblicherweise nicht nur das Passwort gehasht, sondern zusätzlich ein sogenannter Salt-Wert. Dabei handelt es sich um eine Zufallszahl, die zusammen mit dem Passwort-Hash gespeichert wird. Der Salt bewirkt, dass der Angreifer Passwort-Hashes nicht vorberechnen kann und jeden Passwort-Hash einzeln angreifen muss.

Anforderungen nicht mit kryptographischen Hashes vergleichbar

Die Sicherheitsanforderungen an Passwort-Hashes unterscheiden sich deutlich von denen für andere kryptographische Zwecke, beispielsweise digitale Signaturen. Üblicherweise ist vor allem die Kollisionsresistenz einer kryptographischen Hashfunktion für die Sicherheit entscheidend. Bei Passwort-Hashes ist das jedoch egal. Wichtig ist vielmehr, dass die Hashfunktion nicht extrem schnell berechnet werden kann. Deshalb wird bei speziellen Passwort-Hashfunktionen darauf geachtet, dass deren Berechnungen verhältnismäßig lange dauern und viel Speicher verbrauchen. Zu lange soll die Berechnung allerdings auch nicht dauern - schließlich muss der Hash bei jedem Loginvorgang ein Mal berechnet werden.

In der Vergangenheit wurden trotz dieser unterschiedlichen Anforderungen meist klassische kryptographische Hashfunktionen für Passwort-Hashes benutzt. Um die Berechnung zu verlangsamen, wurde eine Hashfunktion manchmal mehrere Tausend Male verwendet. Auf modernen Linux-Systemen wird beispielsweise SHA512 auf diese Weise genutzt. Doch speziell fürs Passwort-Hashing entwickelte Funktionen können eine höhere Sicherheit bieten. Die Algorithmen Bcrypt und Scrypt sind bislang die am häufigsten eingesetzten Hashfunktionen, die speziell für Passwort-Hashes entwickelt wurden.

Seit einiger Zeit ist es üblich, dass neue Krypto-Algorithmen bei Wettbewerben ausgelobt werden. Teams können sich mit ihren Algorithmen bewerben, über einen festgelegten Zeitraum können die Algorithmen untersucht werden. Der erste derartige Wettbewerb endete 2001 mit der Wahl des Verschlüsselungsalgorithmus AES. Viel Aufmerksamkeit hatte auch der Wettbewerb für den kryptographischen Hash SHA-3 erhalten. Zurzeit läuft weiter ein Wettbewerb, um einen neuen authentifizierten Verschlüsselungsalgorithmus auszuloben.


eye home zur Startseite
Marc2 27. Jul 2015

stimmt. irgendwie ist der cookie timeout ein angst-reflex aus urzeiten ;)

funkysash 27. Jul 2015

Kommt auf das Passwort an, aber ja, das stimmt schon. Ich finde nur dieses...

Lord LASER 27. Jul 2015

bcrypt ist gut, aber nicht ohne Schwächen.



Anzeige

Stellenmarkt
  1. Hauni Primary GmbH, Schwarzenbek
  2. SITA Airport IT GmbH, Düsseldorf
  3. Daimler AG, Leinfelden-Echterdingen
  4. awinta GmbH, Bietigheim-Bissingen, Mannheim, Gefrees, Oberhausen


Anzeige
Blu-ray-Angebote
  1. 23,99€ (Vorbesteller-Preisgarantie)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Navigationsgerät Chris

    Das Smartphone im Auto mit Sprache und Gesten bedienen

  2. Natilus

    Startup entwickelt Transportdrohne in Flugzeuggröße

  3. Gegen Verlegerverbände

    El País warnt vor europäischem Leistungsschutzrecht

  4. Verschlüsselung

    Schwachstellen in zahlreichen VoIP-Anwendungen entdeckt

  5. iPhone

    Die TSMC soll Apples A11-Chip im 10-nm-Verfahren produzieren

  6. New Pound Coin

    Neue Pfund-Münze nutzt angeblich geheime Sicherheitsfunktion

  7. HP Elite Slice im Kurztest

    So müsste ein Mac Mini aussehen!

  8. Neuralink

    Elon Musk will Gehirn-Computer-Schnittstellen entwickeln

  9. Neue Rotorblätter

    Hubschrauber könnten bald viel leiser fliegen

  10. Microsofts Project Torino

    Programmieren für sehbehinderte Kinder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nier Automata im Test: Stilvolle Action mit Überraschungen
Nier Automata im Test
Stilvolle Action mit Überraschungen
  1. Square Enix Gladiolus startet ohne die anderen Jungs in Final Fantasy 15
  2. Nvidia "KI wird die Computergrafik revolutionieren"
  3. The Avengers Project Marvel und Square Enix arbeiten an Superheldenoffensive

Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen
Betrugsnetzwerk
Kinox.to-Nutzern Abofallen andrehen

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

  1. Re: APFS und iPod Touch (6. Gen)

    Hydegraphic | 13:54

  2. Zentripetalkraft bei 180 Knoten?

    pk_erchner | 13:53

  3. Re: Kleinstrechner Einmalundniemehrwieder

    Test_The_Rest | 13:53

  4. Re: was mich wundert....

    pk_erchner | 13:51

  5. Re: Ich bin da schon viel weiter

    divStar | 13:49


  1. 14:00

  2. 13:55

  3. 13:35

  4. 13:20

  5. 13:00

  6. 12:40

  7. 12:02

  8. 11:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel