Natürlich kommt es auf die Länge an. Aber mit der richtigen Technik speichern Administratoren auch weniger sichere Passwörter so, dass sich ein Angreifer selbst mit modernster Knack-Ausrüstung daran die Zähne ausbeißt.
Meldungen über Servereinbrüche bei Online-Shops, Spieleanbietern und anderen Dienstleistern liest man mittlerweile fast täglich. Oft gelangen die Einbrecher auch an die Login-Daten der Kunden, inklusive der Passwörter. Weil viele Anwender ein und dasselbe Passwort mehrfach benutzen, können Kriminelle es zum unbefugten Zugriff auf weitere Dienste missbrauchen. Um das Ausspähen der Passwörter zu verhindern, sichern die Betreiber von Webseiten die Nutzer-Passwörter meist kryptografisch, etwa mit Einweg-Hash-Verfahren. Dabei wird aus dem Passwort eine Zeichenkette abgeleitet, die keinerlei Rückschlüsse auf das eigentliche Passwort zulassen.
CMS Systeme und Ihre Art Passwörter zu speichern
- Typo3 => pures MD5
- Wordpress und phpBB => Salt (Zufallzeichenfolge im "Hash" - immunisieren) MD5 mittels phpbb (PHP-Framework)
- Drupal 7 => SHA-512
- Jomla => salt MD5
Es gibt ein Passwort Wiederherstellungsverfahren namens hashcat, welches die Methoden für Wordpress und phpBB, also MD5 salt beherrscht und per Brute-Force versucht das Passwort wiederherzustellen.
Der komplette Heise Artikel "Cracker-Bremse - Passwörter unknackbar speichern" von Daniel Bachfeld beschreibt unter anderem wie die gängigen Content Management Systeme (CMS) arbeiten. Wirklich ein guter Artikel also ran ans lesen :-)
Keine Kommentare:
Kommentar veröffentlichen