Abo
  • Services:
Anzeige
Wer eines dieser Passwörter nutzt, dem hilft vermutlich auch eine gute Hash-Funktion nichts.
Wer eines dieser Passwörter nutzt, dem hilft vermutlich auch eine gute Hash-Funktion nichts. (Bild: SplashData)

Wettbewerb: Neue Hash-Funktionen für Passwörter

Die Passwort Hashing Competition (PHC) sucht nach neuen Verfahren, um Passwörter sicherer zu speichern. 24 Vorschläge wurden in der ersten Runde eingereicht.

Anzeige

In einem Wettbewerb suchen Kryptographen nach neuen Hash-Funktionen zum Speichern von Passwörtern. Die Organisatoren der Password Hashing Competition (PHC) riefen im vergangenen Jahr dazu auf, Vorschläge hierfür einzureichen. Die Frist ist am 31. März abgelaufen und 24 Vorschläge wurden nun veröffentlicht. Die Kryptographen-Gemeinde ist jetzt aufgefordert, die eingereichten Vorschläge zu untersuchen.

Der Hintergrund: Passwörter werden üblicherweise in sicheren Applikationen nicht direkt gespeichert. Stattdessen speichert ein Server nur einen Hash des Passworts. Das führt dazu, dass bei einem Einbruch in den Server einem Angreifer nicht sofort alle Passwörter bekannt sind. Herausfinden kann man diese nur, indem man mit Hilfe eines Brute-Force-Angriffs versucht, Kombinationen von gängigen Passwörtern auszuprobieren. Mit Hilfe von sogenannten Rainbow Tables kann man bekannte Passwörter vorberechnen. Um das zu verhindern, wird nicht nur das Passwort selbst gehasht, es wird stattdessen ein sogenannter Salt zusammen mit dem Passwort als Eingabe für die Hashfunktion verwendet. Der Salt, bei dem es sich schlicht um einen Zufallswert handelt, wird zusätzlich unverschlüsselt gespeichert.

Das Problem: Passwort-Hashes haben gänzlich andere Sicherheitsanforderungen als gängige kryptographische Hash-Funktionen. Übliche Hashfunktionen wie SHA-2, die beispielsweise bei digitalen Signaturen eingesetzt werden, müssen etwa kollisionsresistent sein. Beim Speichern von Passwörtern ist das völlig egal. Hingegen zeichnet sich ein guter Passwort-Hash dadurch aus, dass er nicht besonders schnell berechnet werden kann. Für die Prüfung des Passwortes ist das nicht sonderlich schlimm, denn dafür muss die Funktion nur einmal ausgeführt werden. Für den Angreifer ist die langsame Ausführung jedoch ein Problem. Denn je länger ein Angreifer für die Berechnung braucht, desto schwieriger wird ein Brute-Force-Angriff.

Trotz dieser Unterschiede bei den Sicherheitsanforderungen wurden in der Vergangenheit oft gewöhnliche kryptographische Hashes für Passwörter verwendet. Unter aktuellen Linux-Systemen werden beispielsweise Passwörter in der shadow-Datei mehrfach mit SHA-512 gehasht. Es gibt jedoch auch Hash-Funktionen, die speziell für Passwörter ausgelegt sind. Eine beliebte Funktion ist bcrypt, es wird etwa vom Apache-Webserver unterstützt. Ein etwas neuerer Ansatz ist die Funktion scrypt, die besonders viel Speicher verbraucht und somit versucht, einen Angriff zu erschweren.

Wettbewerbe wie die Passwort Hashing Competition werden immer beliebter unter Kryptographen. Die Idee: Über einen längeren Zeitraum soll die Wissenschaftsgemeinde alle eingereichten Vorschläge untersuchen und öffentlich diskutieren. In der Vergangenheit hat das US-Standardisierungsgremium Nist zwei solche Wettbewerbe durchgeführt: Der Verschlüsselungsstandard AES und die Hash-Funktion SHA-3 wurden so ausgewählt. Erst kürzlich wurde der CAESAR-Wettbewerb gestartet, bei dem neue Verfahren zur authentifizierten Verschlüsselung gesucht werden. Weder CAESAR noch die Passwort Hashing Competition werden von einer Standardisierungsbehörde organisiert, hinter den Wettbewerben stehen jedoch Teams von bekannten Kryptographen, die diese durchführen und am Ende die Gewinner auswählen.


eye home zur Startseite
JensM 04. Apr 2014

Danke für die Anregungen. :) Es macht schon Sinn, rechenaufwendige Verfahren zu nehmen...

Malocher 02. Apr 2014

Nein, das stimmt so nicht, oder versteh ich dich gerade völlig falsch?

zoggole 02. Apr 2014

Für ein bestimmtes Zertifikat eine Fälschung zu erstellen ist es in der Tat ziemlich...

CiC 02. Apr 2014

Diese Protokolle (PAKE = Password Authenticated Key Exchange) erlauben es zwar das...

Sinnfrei 01. Apr 2014

AES-Hash - lässt sich optimal per AES-NI-Beschleunigen: http://csrc.nist.gov/groups/ST...



Anzeige

Stellenmarkt
  1. Dataport, Hamburg, Altenholz bei Kiel
  2. Stadtwerke München GmbH, München
  3. Swyx Solutions AG, Dortmund
  4. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden


Anzeige
Top-Angebote
  1. 229,00€ zzgl. 5€ Versand (USK 18)
  2. 18,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  3. (alle Angebote versandkostenfrei, u. a. GTA V PS4/XBO 27,00€ und Fast & Furious 1-7 Blu-ray 24...

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. e.GO Life Elektroauto aus Deutschland für 15.900 Euro
  2. Elektroauto VW testet E-Trucks
  3. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Snap Spectacles im Test: Das Brillen-Spektakel für Snapchat-Fans
Snap Spectacles im Test
Das Brillen-Spektakel für Snapchat-Fans
  1. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  2. Snap Spectacles Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar
  3. Soziales Netzwerk Snapchat geht an die Börse - und Google profitiert

  1. Re: Rumjammern aber bescheidene Gehälter zahlen

    MaxiSaaS | 18:39

  2. Re: Warum kenne ich arbeitslose ITler?

    MaxiSaaS | 18:35

  3. Re: Objektiv oder Subjektiv

    neocron | 18:28

  4. SaaS-Entwicklungssystem ohne Quelltexte oder wozu...

    MaxiSaaS | 18:26

  5. Re: Und später mal in ein paar Jahren

    plutoniumsulfat | 18:23


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel