Abo
  • Services:
Anzeige
Wie sichert man Passwörter am besten ab?
Wie sichert man Passwörter am besten ab? (Bild: Screenshot)

Password Hashing Competition: Hashfunktion Argon2 gewinnt Wettbewerb

Wie sichert man Passwörter am besten ab?
Wie sichert man Passwörter am besten ab? (Bild: Screenshot)

In einem Wettbewerb ist nach neuen Hashfunktionen gesucht worden, die sich für das Hashen von Passwörtern eignen. Jetzt steht der Gewinner fest: Argon2, entwickelt von einem Team an der Universität Luxemburg.

Anzeige

Vor zwei Jahren starteten Kryptographen einen Wettbewerb mit dem Ziel der Entwicklung neuer Hashfunktionen für das sichere Speichern von Passwörtern. Jetzt steht der Gewinner fest: Der Algorithmus Argon2 überzeugte die Jury. Insgesamt 24 Vorschläge waren für den Wettbewerb eingereicht worden.

Argon2 aus 24 Vorschlägen ausgewählt

Jean-Philippe Aumasson, einer der Organisatoren des Wettbewerbs, gab die Wahl von Argon2 in einer Mail bekannt. Vier weitere Algorithmen mit den Namen Catena, Lyra2, Makwa und Yescrypt fand die Jury ebenfalls überzeugend und erwähnte sie in der Bekanntgabe der Ergebnisse.

Argon2 wurde von den Kryptographen Alex Biryukov, Daniel Dinu und Dmitry Khovratovich von der Universität Luxemburg entwickelt. Eine detaillierte Beschreibung des Algorithmus findet man auf deren Webseite, eine Implementierung auf Github. Genutzt werden sollte Argon2 im Moment noch nicht. Die Entwickler des Algorithmus werden zusammen mit den Organisatoren des Wettbewerbs noch kleinere Änderungen vornehmen und entscheiden, wie genau die finale Version umgesetzt werden soll.

Passwort-Hashes sollen in Fällen, in denen Nutzerdatenbanken von Services gestohlen werden, verhindern, dass ein Angreifer sofort Direktzugriff auf alle Passwörter hat. Die Idee dabei: Statt das Passwort selbst zu speichern, wird lediglich ein Hash davon berechnet und auf dem System abgelegt. Bei jedem Login wird das vom Nutzer gesendete Passwort erneut gehasht und mit dem gespeicherten Passwort verglichen.

Falls ein Angreifer an die Passwort-Hashes gelangt, hat er nur die Hashes. Er kann aber trotzdem versuchen, die Passwörter herauszufinden, indem er gängige Passwörter mittels eines Brute-Force-Angriffs ausprobiert. Um das zu erschweren, wird üblicherweise nicht nur das Passwort gehasht, sondern zusätzlich ein sogenannter Salt-Wert. Dabei handelt es sich um eine Zufallszahl, die zusammen mit dem Passwort-Hash gespeichert wird. Der Salt bewirkt, dass der Angreifer Passwort-Hashes nicht vorberechnen kann und jeden Passwort-Hash einzeln angreifen muss.

Anforderungen nicht mit kryptographischen Hashes vergleichbar

Die Sicherheitsanforderungen an Passwort-Hashes unterscheiden sich deutlich von denen für andere kryptographische Zwecke, beispielsweise digitale Signaturen. Üblicherweise ist vor allem die Kollisionsresistenz einer kryptographischen Hashfunktion für die Sicherheit entscheidend. Bei Passwort-Hashes ist das jedoch egal. Wichtig ist vielmehr, dass die Hashfunktion nicht extrem schnell berechnet werden kann. Deshalb wird bei speziellen Passwort-Hashfunktionen darauf geachtet, dass deren Berechnungen verhältnismäßig lange dauern und viel Speicher verbrauchen. Zu lange soll die Berechnung allerdings auch nicht dauern - schließlich muss der Hash bei jedem Loginvorgang ein Mal berechnet werden.

In der Vergangenheit wurden trotz dieser unterschiedlichen Anforderungen meist klassische kryptographische Hashfunktionen für Passwort-Hashes benutzt. Um die Berechnung zu verlangsamen, wurde eine Hashfunktion manchmal mehrere Tausend Male verwendet. Auf modernen Linux-Systemen wird beispielsweise SHA512 auf diese Weise genutzt. Doch speziell fürs Passwort-Hashing entwickelte Funktionen können eine höhere Sicherheit bieten. Die Algorithmen Bcrypt und Scrypt sind bislang die am häufigsten eingesetzten Hashfunktionen, die speziell für Passwort-Hashes entwickelt wurden.

Seit einiger Zeit ist es üblich, dass neue Krypto-Algorithmen bei Wettbewerben ausgelobt werden. Teams können sich mit ihren Algorithmen bewerben, über einen festgelegten Zeitraum können die Algorithmen untersucht werden. Der erste derartige Wettbewerb endete 2001 mit der Wahl des Verschlüsselungsalgorithmus AES. Viel Aufmerksamkeit hatte auch der Wettbewerb für den kryptographischen Hash SHA-3 erhalten. Zurzeit läuft weiter ein Wettbewerb, um einen neuen authentifizierten Verschlüsselungsalgorithmus auszuloben.


eye home zur Startseite
Marc2 27. Jul 2015

stimmt. irgendwie ist der cookie timeout ein angst-reflex aus urzeiten ;)

funkysash 27. Jul 2015

Kommt auf das Passwort an, aber ja, das stimmt schon. Ich finde nur dieses...

Lord LASER 27. Jul 2015

bcrypt ist gut, aber nicht ohne Schwächen.



Anzeige

Stellenmarkt
  1. Lahnpaper GmbH, Lahnstein
  2. bimoso GmbH, deutschlandweit (Home-Office)
  3. Läpple Dienstleistungsgesellschaft mbH, Haßmersheim
  4. Bizerba SE & Co. KG, Balingen


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)

Folgen Sie uns
       


  1. Matebook X

    Huawei stellt erstes Notebook vor

  2. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  3. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  4. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  5. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  6. Squad

    Valve heuert Entwickler des Kerbal Space Program an

  7. James Gosling

    Java-Erfinder wechselt zu Amazon Web Services

  8. Calliope Mini im Test

    Neuland lernt programmieren

  9. Fernwartung

    Microsoft kämpft weiter gegen Support-Betrüger

  10. Streit beendet

    Nokia und Apple tauschen Patentstreit gegen Zusammenarbeit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: Markenanmutung

    JTR | 14:41

  2. Re: Frequenzvermüllung

    Sicaine | 14:41

  3. Re: Kapier ich nicht.

    Karsten Meyer | 14:40

  4. Re: Ich würde gerne wissen....

    elf | 14:40

  5. Re: Spiele verschieben ist wohl die neue Masche...

    Peperoni | 14:39


  1. 14:30

  2. 14:20

  3. 13:36

  4. 13:20

  5. 12:58

  6. 12:47

  7. 12:30

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel