Abo
  • IT-Karriere:

Wettbewerb: Neue Hash-Funktionen für Passwörter

Die Passwort Hashing Competition (PHC) sucht nach neuen Verfahren, um Passwörter sicherer zu speichern. 24 Vorschläge wurden in der ersten Runde eingereicht.

Artikel veröffentlicht am , Hanno Böck
Wer eines dieser Passwörter nutzt, dem hilft vermutlich auch eine gute Hash-Funktion nichts.
Wer eines dieser Passwörter nutzt, dem hilft vermutlich auch eine gute Hash-Funktion nichts. (Bild: SplashData)

In einem Wettbewerb suchen Kryptographen nach neuen Hash-Funktionen zum Speichern von Passwörtern. Die Organisatoren der Password Hashing Competition (PHC) riefen im vergangenen Jahr dazu auf, Vorschläge hierfür einzureichen. Die Frist ist am 31. März abgelaufen und 24 Vorschläge wurden nun veröffentlicht. Die Kryptographen-Gemeinde ist jetzt aufgefordert, die eingereichten Vorschläge zu untersuchen.

Stellenmarkt
  1. Cegeka Deutschland GmbH, Flughafen Frankfurt
  2. BWI GmbH, Bonn

Der Hintergrund: Passwörter werden üblicherweise in sicheren Applikationen nicht direkt gespeichert. Stattdessen speichert ein Server nur einen Hash des Passworts. Das führt dazu, dass bei einem Einbruch in den Server einem Angreifer nicht sofort alle Passwörter bekannt sind. Herausfinden kann man diese nur, indem man mit Hilfe eines Brute-Force-Angriffs versucht, Kombinationen von gängigen Passwörtern auszuprobieren. Mit Hilfe von sogenannten Rainbow Tables kann man bekannte Passwörter vorberechnen. Um das zu verhindern, wird nicht nur das Passwort selbst gehasht, es wird stattdessen ein sogenannter Salt zusammen mit dem Passwort als Eingabe für die Hashfunktion verwendet. Der Salt, bei dem es sich schlicht um einen Zufallswert handelt, wird zusätzlich unverschlüsselt gespeichert.

Das Problem: Passwort-Hashes haben gänzlich andere Sicherheitsanforderungen als gängige kryptographische Hash-Funktionen. Übliche Hashfunktionen wie SHA-2, die beispielsweise bei digitalen Signaturen eingesetzt werden, müssen etwa kollisionsresistent sein. Beim Speichern von Passwörtern ist das völlig egal. Hingegen zeichnet sich ein guter Passwort-Hash dadurch aus, dass er nicht besonders schnell berechnet werden kann. Für die Prüfung des Passwortes ist das nicht sonderlich schlimm, denn dafür muss die Funktion nur einmal ausgeführt werden. Für den Angreifer ist die langsame Ausführung jedoch ein Problem. Denn je länger ein Angreifer für die Berechnung braucht, desto schwieriger wird ein Brute-Force-Angriff.

Trotz dieser Unterschiede bei den Sicherheitsanforderungen wurden in der Vergangenheit oft gewöhnliche kryptographische Hashes für Passwörter verwendet. Unter aktuellen Linux-Systemen werden beispielsweise Passwörter in der shadow-Datei mehrfach mit SHA-512 gehasht. Es gibt jedoch auch Hash-Funktionen, die speziell für Passwörter ausgelegt sind. Eine beliebte Funktion ist bcrypt, es wird etwa vom Apache-Webserver unterstützt. Ein etwas neuerer Ansatz ist die Funktion scrypt, die besonders viel Speicher verbraucht und somit versucht, einen Angriff zu erschweren.

Wettbewerbe wie die Passwort Hashing Competition werden immer beliebter unter Kryptographen. Die Idee: Über einen längeren Zeitraum soll die Wissenschaftsgemeinde alle eingereichten Vorschläge untersuchen und öffentlich diskutieren. In der Vergangenheit hat das US-Standardisierungsgremium Nist zwei solche Wettbewerbe durchgeführt: Der Verschlüsselungsstandard AES und die Hash-Funktion SHA-3 wurden so ausgewählt. Erst kürzlich wurde der CAESAR-Wettbewerb gestartet, bei dem neue Verfahren zur authentifizierten Verschlüsselung gesucht werden. Weder CAESAR noch die Passwort Hashing Competition werden von einer Standardisierungsbehörde organisiert, hinter den Wettbewerben stehen jedoch Teams von bekannten Kryptographen, die diese durchführen und am Ende die Gewinner auswählen.



Anzeige
Hardware-Angebote
  1. 289€
  2. 259€ + Versand oder kostenlose Marktabholung

JensM 04. Apr 2014

Danke für die Anregungen. :) Es macht schon Sinn, rechenaufwendige Verfahren zu nehmen...

Malocher 02. Apr 2014

Nein, das stimmt so nicht, oder versteh ich dich gerade völlig falsch?

zoggole 02. Apr 2014

Für ein bestimmtes Zertifikat eine Fälschung zu erstellen ist es in der Tat ziemlich...

CiC 02. Apr 2014

Diese Protokolle (PAKE = Password Authenticated Key Exchange) erlauben es zwar das...

Sinnfrei 01. Apr 2014

AES-Hash - lässt sich optimal per AES-NI-Beschleunigen: http://csrc.nist.gov/groups/ST...


Folgen Sie uns
       


Katamaran Energy Observer angesehen

Die Energy Observer ist ein Schiff, das ausschließlich mit erneuerbaren Energien betrieben wird und seinen Treibstoff zum Teil selbst produziert. Wir haben es in Hamburg besucht.

Katamaran Energy Observer angesehen Video aufrufen
5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
    Final Fantasy 7 Remake angespielt
    Cloud Strife und die (fast) unendliche Geschichte

    E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

    1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
    2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
    3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

      •  /