Woher wissen Webseiten ob ein Passwort zu ähnlich zu dem vorherigen ist (Hash)?

Möchte man bei einigen Accounts oder Webseiten sein Passwort ändern erscheint manchmal die Meldung, dass das Passwort zu viele Ähnlichkeiten mit dem vorherigen Passwort besitzt.

Soweit ich weiß werden Passwörter zur Sicherheit in Datenbanken als Hashwerte gespeichert.

Bei einem Hash-Algorithmus ändert sich der vollständige Hashwert schon bei kleinen Veränderungen am Passwort.

Woher wissen diese Services, dass das Passwort starke Ähnlichkeit mit dem vorherigen Passwort hat? Ist bei so einer Meldung davon auszugehen, dass die Passwörter in Klartext gespeichert werden?

Viele Grüße

9 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

verreisterNutzer

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

15.11.2018, 12:49

Moin.

Wenn Du auf einer Webseite ein Passwort ändern willst, muss Dein bisheriges nicht aus einer Datenbank gelesen werden.

Geben sie ihr altes Passwort ein:
Geben sie ihr neues Passwort ein:
Wiederholen sie ihr neues Passwort:

Da braucht es weder Datenbank noch Hashwerte. In dem Augenblick wo Du Dein Altes und Dein Neues in einer solchen Maske eingibst, liegen dem Server beide zum direkten Vergleich vor.

Die Eingaben werden nicht sofort gehasht (wenn denn überhaupt) und in die DB gelegt. Wäre ja auch Schwachsinn. Schließlich lässt sich aus einem Hash nicht mehr erkennen, ob das eingegebene Passwort bestimmte Mindestmerkmale wie Groß-/ Kleinschreibung, Zahlen oder Sonderzeichen erfüllt.

Woher ich das weiß:eigene Erfahrung

sebastianla

15.11.2018, 12:46

Das weiß man nicht. Ich kann mir zwar vorstellen, das die Passwörter tatsächlich als Hash abgelegt sind (mir würde gerade auch für den Fall ein sinnvoller Algorithmus zur Ähnlichkeitsprüfung einfallen), aber wenn kurzfristig von wem-auch-immer solche Anforderungen reinkommen, können schon mal alle möglichen haarsträubenden "Lösungen" zum Einsatz kommen.

verreisterNutzer

15.11.2018, 12:45

Weil du, wenn du dein Passwort ändern möchtest, auf vielen Webseiten erst dein altes Passwort eingeben musst. Sie können also die Passwörter vergleichen.

Es gibt aber auch Webseiten, die speichern die Passwörter nicht verschlüsselt und auch nicht als hash. Es gibt da regelmäßig Skandal-Berichte, wenn mal wiedr die Daten von Millionen von Kunden/Nutzern geklaut wurden und dort Klartextpasswörter gespeichert wurden.

Letztes "großes" Beispiel war wohl in Deutschland der Chat Knuddels.de, wo alle Passwörter im Klartext gespeichert wurden. Mitte des Jahres wurde deren Datenbank veröffentlicht mit allen Nutzerdaten (samt Passwörtern). Die Datenbank belief sich wohl auf knapp 2.000.000 Datensätze, darunter dann Mail-Adressen, Passwörter usw.

Isendrak

19.01.2019, 13:36

Da fallen mir 2 Möglichkeiten ein:

Die bereits erwähnte, bei der zur Passwortänderung das alte Passwort mit angegeben werden muss.
Man könnte zusätzlich zum "Authentifizierungshash" auch noch einen "phonetischen Hash" speichern, der ausschließlich für die Ähnlichkeitsprüfung verwendet wird. Z.B. mit einer abgewandelten Version von Soundex (https://de.wikipedia.org/wiki/Soundex). Dieser ist zwar nicht gerade kollisionsresistent aber solange man ihn nicht zur Benutzerauthentifizierung verwendet ist das sogar von Vorteil.

P.S.: Methode Nummer 1 hat u.A. den "Nachteil", dass sie für eine "Passwort vergessen"-Funktion nicht anwendbar ist.

DeiDei2303

15.11.2018, 13:01

Man kann einen Hash-Algorithmus prinzipiell so gestalten, dass man das aus dem Hash herauslesen kann. Dann ist er aber unsicher (zumindest viel. viel, viel unsicherer).

Es funktioniert aber viel leichter:
Du gibst dein altes PW ein, es wird lokal abgespeichert und online per Hash abgeglichen und dann gibst du dein Neues ein, dass wird dann mit dem lokal gespeicherten verglichen. Und deswegen ist es auch nicht schwer herauszufinden, ob sie ähnlich sind.

Ähnliche Fragen

Apple iCloud | Passwort Manager?

Guten Tag,

ich habe leider vor kurzem keinen Zugriff mehr auf mein iPhone. Nun sind auch alle meine Konten weg und ich kann mich z.B. nicht mehr in mein Amazon Account einloggen, wo ich auch nebenbei ein Amazon Prime Abo habe.

Ich kenne leider nicht mehr alle Passwörter für die verschiedenen Konten, da ich immer unterschiedliche benutzt habe. Ich glaube jedoch die meisten Passwörter in der iCloud (Passwort Manager) gespeichert zu haben.

Kann ich, wenn ich Zugriff habe, die Passwörter aus der iCloud wieder finden, oder werden die Passwörter nicht in der iCloud gespeichert?

Liebe Grüße

...zur Frage

Können manche Dateien den gleichen Hashwert haben?

Z.B. beim MD5 Hash-Algorithmus ist der Hashwert immer 32 Zeichen lang und es besteht aus 16 verschiedenen Hexadezimalzahlen. Also gibt es maximal 16^32 verschiedene MD5 Hashwerte aber es gibt unendlich viele Zahlen/Strings. Wenn man also mehr als 16^32 verschiedene Dateien bestehend aus Zahlen/Strings etc. erstellt würden dann manche Dateien den gleichen Hashwert wie andere Dateien haben?

...zur Frage

C# Hash Werte vergleichen?

Hallo, ich möchte bei einem Login das Passwort hashen. Wenn man sich eingeloggt hat, kann man neue Benutzer hinzufügen. DIe neuen Benutzer werden dann auch gehasht und beim einloggen soll geprüft werden, ob der Hash Wert vom hinzufügen des Benutzers mit dem Hash Wert beim einloggen übereinstimmt. Wie mache ich das? In meinem BenutzerDialog(dort werden die Benutzer erstellt) wird beim Erstellen_Clickeine Hush Methode aufgerufen.

public Benutzer _selectedBenutzer;
public void HashPassword() { PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher(); HashWithSaltResult hashResultSha512 = pwHasher.HashWithSalt("ultra_safe_P455w0rD", 64, SHA512.Create()); _selectedBenutzer.Passwort = hashResultSha512.Salt; _selectedBenutzer.Passwort = hashResultSha512.Digest; }

Wie vergleiche ich den Hash Wert vom Benutzer hinzufügen(BenutzerDialog) mit dem vom Login?

Will dann eine If-Anweisung in der Art schreiben(diese If-Anweisung ist dann im Login Button):

//If(hashwert == benutzerDialog.hashwert)
//{
//   MessageBox.Show("Die Hash Werte stimmen überein-");
//}
//else
//{
//   MessageBox.Show("DIe Hash Werte stimmen nicht überein");
//}

...zur Frage

Wie bekommt man den Hash eines Passwortes?

Wenn man ein Passwort bei, zum Beispiel: Google anlegt, wird dieses nicht im "Plain-Text" gespeichert, sondern als Hash umgewandelt. Hacker können diesen Hash dann aber trotzdem "entschlüsseln" und die Passwörter erhalten. Nun frage ich mich wie die Hacker die Hashes zu den Passwörtern erhalten. Weiß das irgendwer?

...zur Frage

Wo und wie könnte man am besten ein auf ein Blatt Papier geschriebenes Passwort verstecken?

Ich habe ein Passwort für die Cloud und eines für meinem Passwortmanager wo auch ganz viele andere Passwörter drin gespeichert sind.

Doch ich könnte die einmal vergessen, deshalb möchte ich mir die zwei Passwörter aufschreiben, doch wo könnte ich dann die auf ein Blatt Papier geschriebenen Passwörter verstecken, vielleicht auch außerhalb des Hauses ?

Habt ihr Ideen ?

...zur Frage

"Unerlaubte" Zeichen in Passwörtern?

Moinsen,

meine Frage ist folgende:

Wie lauten die Zeichen/Umlaute, die in Passwörtern ausgelassen werden sollten, da diese Probleme bei Logins bzw. in den jeweiligen Scripten mit sich bringen?

Also bei MySQL sollte man kein $ Zeichen verwenden, da dies ein Steuerzeichen ist.

Könnte mir dementsprechend auch vorstellen, dass man die Zeichen ' '. sowie ein ; auch besser nicht benutzen sollte.

Gibt es hierbei eine Liste, oder ähnliches, welche alle Zeichen beinhalten, welche Probleme bei Programmen bzw. Logins verursachen?

Ich möchte nämlich gerne KeePassXC verwenden und hier in Zukunft den Passwort Generator mit der "sichersten" Einstellung. Also im Endeffekt alle Zeichen einbinden wie auch ASCII und andere Sonderzeichen um möglichst schwere Passwörter zu erstellen. Dabei möchte ich dann gerne nur die einzelnen Zeichen im Filter einsetzen, die Probleme bereiten um eine möglichst große Anzahl an verschiedenen Zeichen einzubinden.

Wäre cool, wenn man hier entweder eine Liste zusammen stellen könnte bzw. jemandem so eine Seite mit den Informationen bekannt ist.

Am besten natürlich für alle Programme und Accounts/Webseiten, die es so gibt.

Habe da nämlich auch schon bei einer Webseite Probleme gehabt, welche die Zeichen nicht gefiltert bzw. angezeigt hat. Hierbei konnte ich das Passwort ohne weiteres per Copy-Paste einspeichern und kam dann nicht mehr mit dem Passwort in den Account. Da dann erstmal drauf zu kommen, dass es daran lag und ich per Passwort -vergessen Funktion dies zum Glück zurücksetzen konnte, hat mich darauf aufmerksam gemacht. Dem möchte ich in Zukunft vorbeugen.

MfG

...zur Frage

Kann ich als root die Passwörter anzeigen lassen?

In der /etc/passwd bin, werden ja die Passwörter als Hashwert angezeigt, da kann ich ja auch als normaler User hin. Dann habe ich von /etc/shadow gehört wo man ja nur als root hinnkommt, ich habe es so verstanden das dort die Passwörter im Klartext gespeichert werden? Ist das so richtig oder ist da ein Fehler? PS: Bitte keine Standpauken, ich kenne die goldenen Linux Regeln :D.

...zur Frage

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zur Frage

Passwörter durch Speicher auslesen herausfinden?

Kann man nicht einfach das Passwort für ein Gerät herausfinden, wenn man in den Speicher schaut. Ich meine, irgendwo muss ja auch das Passwort gespeichert sein. Und selbst wenn es verschlüsselt ist, irgendwo muss der Verschlüsselungscode gespeichert sein, wenn das Gerät komplett Offline läuft. Also, warum werden die Passwörter so nicht gehackt?

...zur Frage

Joyclub Passwort geklaut

Hallo! Wie es scheint, hat jemand mein Passwort vom Joyclub.de herausgefunden. Und jetzt frage ich mich, wie sie/er das gemacht hat. Ich habe meine Passwörter nirgendwo aufgeschrieben. Und ich speichere sie nirgendwo ab. Eine Bekannte hat meinen Laptop genutzt (Windows 7, Firefox), aber auch da habe ich keine Passwörter gespeichert. Hat jemand eine Erklärung, wie das passiert sein kann?

...zur Frage

Firefox Passwörter wiederbekommen?

Hatte bei mir Windows zurückgesetzt weil ich Probleme damit hatte und kann mich nicht mehr an alle meine Passwörter erinnern die in Firefox gespeichert waren. Hab noch den Windows old Ordner wo die Ordner von Firefox drin sind und da waren sogar die Websiten drin auf denen ich Passwörter hatte aber Passwort ist verschlüsselt sowie Username. Was kann ich tun?

...zur Frage

Passwörter Speichern?

Meine Passwörter alle einzeln aufzuschreiben ist mir zu mühsam und anderen Passwort Diensten im Internet vertraue ich nicht. Gibt es irgendwas vertrauenswürdiges wo ich meine Passwörter sichern kann, und die Anbieter der Software keinen Zugriff auf die Passwörter haben da sie lokal gespeichert werden oderso gibt es sowas

...zur Frage

Wie bekommen hacker den Hash meines Passwort?

Ich habe verstanden das hacker mit dem Hash Passwörter kancken KÖNNEN aber wie bekommen sie den Hash des Passwortes

...zur Frage

Sind Hashwerte als Beweismittel zugelassen?

Moin,

wie im Titel steht, frage ich mich, ob Hashwerte als Beweismittel vor Gericht zugelassen sind.

Das Konzept der Hashwerte ist denkbar einfach, es kommt ein Input rein, dieser durchläuft den Algorithmus und am Ende kommt ein einzigartiger Hashwert bei raus.

In den USA wurden bereits einige Gerichtsurteile auf Hashwertbeweise gefällt. Kurz, es wurde eine Festplatte beschlagnahmt (bzw. alle Speichermedien). Diese "interessanten" Daten waren allerdings in einem passwortgeschützten Archiv und der Beschuldigte wollte das Passwort selbstverständlich nicht rausrücken. Da die Ermittler allerdings auf die Hashes zugreifen konnten und diese mit einer Hashdatenbank von KiPo-Hashwerten verglichen haben, konnten sie einige Treffer feststellen und der Beschuldigte wurde daraufhin verurteilt.

Allerdings ist Anfang 2017 ein vermeintlich "sicherer" Hashalgorithmus von einer Forschergruppe geknackt worden. Dabei wurde einfach eine "Abkürzung" im Code genutzt und sehr viel CPU-Zeit verwendet. Dadurch gibt es die Möglichkeit in relativ kurzer Zeit aus einem Hashwert eine zweite Datei (unterschiedlich zur ersten Datei) zur erstellen, mit genau denselbem Hash, wie die erste Datei.

Mit Hinblick auf die bisher gefällten Urteile, wäre es nun möglich, dass der Täter, Einspruch einlegen kann und sich auf die Unsicherheit der Algorithmen berufen kann oder würde dies vom Gericht abgelehnt werden, da zum einen beinahe ein Supercomputer möglich wäre, um eine zweite Datei mit demselben Hashwert zu bilden?

Auch wäre es sinnvoll sich die Frage zu stellen, ab wann dieser Hashalgorithmus als "unsicher" gebrandet werden würde, da die Computer mit jedem Jahr leistungsfähiger werden und es irgendwann selbst für Heimanwender relativ einfach wäre, sowas zu bewerkstelligen.

Danke schonmal, für die Antworten!

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen