Forscher demontieren mit SHA-1 gesicherte Passwörter
Webseiten-Betreiber, die Passwörter ihrer Nutzer als SHA-1-Hashes speichern, agieren grob fahrlässig. Sicherheitsforscher von CynoSure Prime knackten zu Demonstrationszwecken knapp 305 Millionen SHA-1-Hashes von Passwörtern. Die Daten stammen vom Portal Have I Been Pwned. Dort findet sich die größte Sammlung aus geklauten Zugangsdaten. Auf der Webseite kann man prüfen, ob eigene Daten bereits kompromittiert sind.
Um derartige Angriffe zu verhindern, sollten Webseiten-Betreiber die Passwörter ihrer Nutzer mit Verfahren wie bcrypt oder PBKDF2 speichern. Diese sind darauf ausgelegt, dass ein Angriff möglichst viel Ressourcen benötigt, sodass ein gut gewähltes Passwort nicht durch schlampige Speicherung auf dem Server kompromittiert werden kann. (des@ct.de)