Die Herausforderungen des korrekten und sicheren Speicherns von Passwörtern

store passwords correctly safely

Das Wiederherstellen des Zugriffs auf ein Online-Konto kann ein ziemlicher Aufwand sein. Manchmal müssen Sie sich mit einem Support-Mitarbeiter in Verbindung setzen, der Ihnen alle möglichen Fragen stellt, bevor Sie schließlich einen Link erhalten, mit dem Sie ein neues Kennwort für Ihr Konto erstellen und zuweisen können.

Bei einigen Diensten (nicht zu vielen) ist das Wiederherstellen eines Kennworts jedoch nett und einfach. Sie klicken auf die Schaltfläche Kennwort vergessen, und ein Computer oder eine Person sendet Ihnen eine E-Mail mit dem Kennwort, das Sie vergessen haben. Vielleicht sind Sie glücklich darüber, wie praktisch ein solches System ist. Und praktisch ist es in der Tat. Was Sie jedoch möglicherweise nicht bemerken, ist, dass das System Ihr Passwort äußerst unsicher behandelt.

Erstens ist E-Mail nicht die sicherste Kommunikationsform. Es gibt Ausnahmen, aber die meisten der gängigen E-Mail-Anbieter verschlüsseln die Informationen in den Nachrichten nicht, was bedeutet, dass sie während der Übertragung gestohlen werden können. Das ist nicht das einzige Problem.

Die Tatsache, dass das Passwort im Klartext an Sie gesendet wird, bedeutet, dass es wahrscheinlich auch im Klartext gespeichert wird. Und dies bedeutet, dass Hacker, die es in die Finger bekommen, nichts dagegen haben, Ihr Konto zu übernehmen. Ihr Passwort kann auch in verschlüsselter Form gespeichert werden, dies ist jedoch auch keine gute Vorgehensweise. Wenn es verschlüsselt ist, kann es mit Schlüsseln entschlüsselt werden, die freigelegt werden könnten . Und Sie wissen nie, wann ein verärgerter Mitarbeiter entscheidet, dass Sie der Grund für sein Unglück sind.

Daher sollten Dienstanbieter Ihre Passwörter nicht im Klartext speichern und sie auch nicht verschlüsseln. Was ist dann der richtige Weg, um sie zu schützen?

Wie speichern verantwortliche Dienstleister Ihre Passwörter?

Die mathematische Operation, die der Websitebesitzer verwenden soll, heißt Hashing. Eine Hash-Funktion konvertiert Ihr Passwort in eine nicht lesbare Zeichenfolge (als Hash-Wert oder einfach als Hash bezeichnet), die keine visuelle Ähnlichkeit mit dem tatsächlichen Passwort hat. Wenn Sie beispielsweise den SHA1-Hashing-Algorithmus verwenden (es ist ein alter Algorithmus, der nicht besonders sicher ist, den wir jedoch zur Veranschaulichung verwenden), lautet der Hash-Wert von "password" "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8". Der Hash wird dann in einer Datenbank gespeichert und mit einem Hash des Kennworts verglichen, das Sie beim Anmelden eingeben.

Durch die Verschlüsselung wird Ihr Kennwort auch in eine unleserliche Zeichenfolge umgewandelt. Wenn jedoch die Entschlüsselungsschlüssel vorhanden sind, kann das verschlüsselte Kennwort problemlos wieder in Klartext umgewandelt werden. Hashing soll eine Einwegaktion sein, dh wenn der Hashing-Algorithmus gut genug ist, benötigen selbst automatisierte Tools, die auf leistungsfähiger Hardware ausgeführt werden, ziemlich viel Zeit, um den Hash zu knacken und das Kennwort abzurufen. Infolgedessen können weder unglückliche Mitarbeiter noch Hacker Ihr Passwort sehen .

Das Problem ist, dass dasselbe Passwort denselben Hash unter demselben Algorithmus erzeugt. Da so viele Benutzer "123456" zum Schutz ihrer Konten verwenden , kann ein Passwort basierend auf dem Hash erraten werden. Deshalb sollten Service Provider auch Ihr Passwort salzen. Salting bedeutet effektiv, dass eine Zeichenfolge (z. B. "QxLUF1bgIAdeQX") an das Ende Ihres Kennworts angehängt wird, bevor Sie es haschen. Jeder Benutzer sollte sein eigenes, einzigartiges Salt erhalten, das heißt, auch wenn Ihr Passwort mit dem Passwort Ihres Nachbarn übereinstimmt, sind die Hashes völlig anders. Dies bedeutet nicht, dass die Verwendung von allgemeinen oder einfachen Passwörtern in Ordnung ist. Richtiges Hashing und Salting erschweren jedoch die Arbeit der Hacker.

Natürlich steckt noch viel mehr dahinter, aber das, was Sie gerade gelesen haben, hat Ihnen hoffentlich ein grundlegendes Verständnis dafür vermittelt, welche Schritte Websitebesitzer und Diensteanbieter beim Einrichten ihrer Authentifizierungssysteme unternehmen sollten. Leider bedeutet die Tatsache, dass Online-Konten Tag für Tag kompromittiert werden, dass sich nicht alle an diese grundlegenden Sicherheitsprinzipien halten. Und leider können Sie nichts dagegen tun.

Wenn Sie einer Website Ihr Passwort geben, vertrauen Sie den dahinter stehenden Personen, um Ihre Daten zu schützen. Sie haben keine Kontrolle darüber, was als nächstes passiert. Sie können jedoch steuern, wie Sie Ihre eigenen Passwörter speichern.

Wie sollten Sie Ihre Passwörter speichern?

Offensichtlich ist das Speichern in einem Microsoft Office-Dokument keine Option. Es ist viel zu riskant und das Gleiche gilt, wenn Sie Ihre Passwörter auf gelbe Zettel schreiben und auf Ihren Monitor kleben. Auch Hashing kommt nicht in Frage. Auch wenn Sie über die erforderlichen Tools und Kenntnisse verfügen, müssen Sie in der Lage sein, Ihre Kennwörter zu verwenden.

Verschlüsselung ist also die beste Wahl. Die Daten sind nicht in einfacher Form verfügbar, und dennoch können Sie sie verwenden, wann immer Sie sie benötigen.

Mit Cyclonis Password Manager können Sie genau das auf bequeme Weise tun. Erstens verschlüsselt es Ihre Daten mit AES-256, einem Verschlüsselungsalgorithmus, der von Finanz- und Militärorganisationen auf der ganzen Welt verwendet wird. Die Entschlüsselung ist nur mit Ihrem Master-Passwort möglich. Da nur Sie Ihre Daten sehen sollten, speichert oder überträgt Cyclonis Password Manager Ihr Master-Passwort in keiner Weise.

Es ist ein Szenario, Ihren Kuchen zu haben und ihn zu essen. Ihre Passwörter werden von neugierigen Blicken ferngehalten, und dennoch können Sie sie verwenden, wenn Sie sie benötigen. Darüber hinaus ist Cyclonis Password Manager völlig kostenlos.

October 4, 2019

Antworten