Passwortverschlüsselung: Wie funktionieren Passwortverschlüsselungsverfahren?

Passwortverschlüsselung: Wie funktionieren Passwortverschlüsselungsverfahren?

Weltweit setzen tausende von Unternehmen auf Okta, um Zeit und Kosten zu sparen.Erfahren Sie, wie Ihr Unternehmen von einer starken Identity-Lösung profitieren würde.

Passwortverschlüsselung: Wie funktionieren Passwortverschlüsselungsverfahren?

Erfahren Sie, warum führende Branchenanalysten Okta und Auth0 regelmäßig als Marktführer im Bereich Identity einstufen

Bei der Verschlüsselung wird Ihr Passwort verfremdet, sodass es für Hacker unlesbar und/oder unbrauchbar wird. Dieser einfache Schritt schützt Ihr Passwort, während es auf einem Server gespeichert ist, und bietet noch mehr Schutz, wenn Ihr Passwort im Internet herumschwirrt. 

Stellen Sie sich vor, Sie haben ein Passwort erstellt, das so sicher wie nur irgend möglich ist. Nun stellen Sie sich vor, dass all Ihre harte Arbeit im Klartext auf dem Server Ihres Unternehmens gespeichert ist. Was passiert, wenn sich ein Hacker Zugriff verschafft? Ihr ganzer Aufwand war umsonst und Ihr Benutzername und Ihr Passwort werden an den Meistbietenden verkauft.

ID 101 Password Encryption image

Das ist ein gängiges Problem. Im Jahr 2020 entdeckten Sicherheitsexperten beispielsweise, dass ungeschützte Benutzernamen und Passwörter von internetfähigen Türsprechanlagen an Server in China gesendet wurden. 

Wie funktioniert Passwortverschlüsselung?

Experten nutzen Begriffe wie Salt, SHA-1 und Private Key, um zu erklären, was Verschlüsselung ist und wie sie funktioniert. Die Terminologie kann einschüchternd wirken, vor allem für Menschen ohne Informatikkenntnisse.

Aber im Grunde funktioniert Passwortverschlüsselung, indem Ihr ursprüngliches Wort schrittweise verfremdet wird.

Es gibt vier verschiedene Arten von Verschlüsselung.

  1. Symmetrischer Key: Ihr System hat einen Key für die Ver-/Entschlüsselung. Sie verwenden diesen Key, um Ihr Passwort zu verschlüsseln, und dann erneut, um es wieder lesbar zu machen. Ein Hacker muss den Key stehlen, um an Ihr Passwort zu gelangen.
     
  2. Public Key: Bei der Verfremdung Ihres Passworts spielen zwei Schlüssel eine Rolle. Der Public Key ist für jedermann zugänglich. Ein anderer, der Private Key, ist nur einigen wenigen zugänglich. Sie verwenden den einen, um eine Nachricht zu verschlüsseln, und der Empfänger den anderen, um sie wieder lesbar zu machen.
     
  3. Hashed Key: Ein Computeralgorithmus wandelt Ihr Passwort in eine zufällige Abfolge von Zahlen und Buchstaben um. Ein Hacker muss wissen, mit welchem Algorithmus Sie Ihr Passwort umgewandelt haben – und das ist nicht immer einfach.
     
  4. Salted: Bei diesem Verfahren werden einige zufällige Zahlen oder Buchstaben an den Anfang oder das Ende Ihres Passworts angehängt, bevor es den Hashing-Prozess durchläuft. Ein Hacker muss dann sowohl den Hash (was nicht immer einfach ist) als auch Ihren Hashing-Algorithmus kennen, um die Nachricht entschlüsseln zu können. Ihr Administrator kann für jedes Passwort den gleichen Salt verwenden, oder einen variablen Salt, der sich mit jedem Passwort ändert. 

Unabhängig davon, wie Ihr Unternehmen die Verschlüsselung handhabt, ist das Ergebnis dasselbe. Ihr Passwort wird von etwas, das Sie kennen und sich merken können, zu etwas, das völlig zufällig erscheint.

Gängige Passwortverschlüsselungsformate 

Passwortsicherheit zu verstehen ist ein bisschen wie eine neue Sprache zu lernen. Es gibt verschiedene Tools zur Umwandlung Ihrer Passwörter, und jedes funktioniert ein wenig anders.

Angenommen, Ihr Passwort ist R@nT4g*Ne! (Für Rent Forgone, also Mietausfall.) Lassen wir es nun durch verschiedene Verschlüsselungstools laufen:

  • SHA-1: Unser Passwort besteht aus 40 Zeichen, und es gibt keine eindeutige Entschlüsselungsmethode. Unser sicheres Passwort ist 12bf203295c014c580302f4fae101817ec085949.
     
  • SHA-1 mit Salt: Unser Passwort besteht immer noch aus 40 Zeichen, aber wir haben das Wort „Free“ angehängt. Unser sicheres Passwort ist bc6b79c7716722cb383321e40f31734bce0c3598.
     
  • MD5: Unser Passwort wird in einen 128-Bit-String verschlüsselt. Unser sicheres Passwort ist 4e84f7e8ce5ba8cdfe99d4ff41dc2d41.
     
  • AES: Bei diesem symmetrischen Verschlüsselungsalgorithmus lässt sich die Bitlänge frei wählen. Es ist also nahezu unmöglich zu modellieren, wie unser endgültiges Passwort aussehen könnte, da wir viel zu viele Variablen haben, um eine auszuwählen – und jede einzelne beeinflusst das Endergebnis.

Hartnäckige Hacker können Ihre Schutzmaßnahmen umgehen und auf Ihre Dateien zugreifen. Aber wenn Sie Systeme wie dieses verwenden, werden Sie sie sehr wahrscheinlich erheblich ausbremsen. Es frustriert die Hacker aber, wenn sie die Algorithmen, die Sie zum Schutz Ihrer Passwörter verwenden, nicht identifizieren können. Dann suchen sie sich womöglich ein anderes Ziel.

Passwortverschlüsselung allein reicht nicht aus

Mit Hashing-Codes und Salt können Sie Ihre Passwörter sowohl gespeichert als auch während der Übertragung schützen. Um ganz auf der sicheren Seite zu sein, müssen Sie allerdings noch ein wenig mehr tun. Selbst die beste Verschlüsselungsstrategie kann laut Experten ausgehebelt werden. Sie glauben, sicher zu sein – sind es aber eigentlich gar nicht. 

Setzen Sie sich für starke Passwortrichtlinien ein. Starke Passwörter sind:

  • Einmalig. Verwenden Sie Daten aus einem System nicht in einem anderen. Sobald sich Hacker Zugriff zu einer Datenbank verschaffen, ist auch die andere gefährdet.
     
  • Stark. Experten empfehlen, eine zufällige Wortliste mit zugehörigen Zahlen zu erstellen. Würfeln Sie dann, um Ihr neues Passwort zu finden.
     
  • Leicht zu merken. Führen Sie eine schriftliche Liste aller Passwörter oder investieren Sie in eine digitale Lösung, die alle Passwörter speichert. 

Handeln Sie umgehend, sobald Sie über einen Breach informiert werden. Je länger Sie zögern, desto mehr Zeit haben Hacker, um Daten zu stehlen, Ihr System zu übernehmen oder beides.

Holen Sie sich Hilfe von den Okta Experten 

Wir entwickeln sichere Authentication-Security-Systeme für große und kleine Unternehmen. Wir schützen Ihre Informationen und Daten mit leistungsstarken Passwortmanagement- und MFA-Lösungen, die die Hacker zur Verzweiflung treiben werden.

Wir würden Ihnen gerne mehr über unsere Lösungen und deren Use Cases erzählen. Sprechen Sie mit uns, um mehr zu erfahren.

Referenzen

IoT Stupidity Strikes Again—Victure VD300. (November 2020). Electropages. 

SHA-1. dCode. 

MD5 Hash Generator. Dan's Tools. 

AES Encryption and Decryption Online Tool (Calculator). Devglan. 

Best Way to Know the Algorithm Used for a Password Encryption. Stack Exchange. 

Major Cybersecurity Challenges in the Healthcare Sector. (Dezember 2020). Healthcare Tech Outlook. 

Creating Strong Passwords. (Oktober 2018). Surveillance Self-Defense.