Werden Passwörter bei allen Anbietern auf dieselbe Weise gehasht?
Passwörter werden ja verschlüsselt gespeichert. Wenn ich also hier einen Account habe und auf Reddit ebenfalls und überall, auch evtl beim E-Mailanbieter, die selben Zugangsdaten verwende und dann bei einer Plattform durch Phishing gehackt werde, kann die jeweils andere Plattform dann anhand der verschlüsselten Passwörter dann theoretisch sich in meinen anderen Account hacken? Also können die Betreiber von Reddit daraus ableiten, dass ich auf Gutefrage dasselbe Passwort habe? Und könnte dich ein Reddit-Mitarbeiter somit in meine Gütertage-Account einloggen?
3 Antworten
Passwörter werden ja verschlüsselt gespeichert.
Nein, sie werden gehasht und nur der Hash wird gespeichert. Das ist ein Unterschied. Für eine Verschlüsselung existiert eine Umkehroperation (die Entschlüsselung), eine Hashfunktion geht nur in eine Richtung.
und dann bei einer Plattform durch Phishing gehackt werde
Dann kennt der Angreifer ja dein Passwort, da du es auf seiner Seite eingibst.
kann die jeweils andere Plattform dann anhand der verschlüsselten Passwörter dann theoretisch sich in meinen anderen Account hacken?
Selbstverständlich. Meistens werden Passwörter im Klartext an den Server übertragen und erst gehasht, bevor sie in die Datenbank geschrieben werden. Ein bösartiger Plattformbetreiber könnte also einfach die Passwörter im Klartext abfangen. Man könnte das Passwort natürlich noch einmal zusätzlich clientseitig hashen, aber weil der Javascript Code vom gleichen Plattformbetreiber stammt, könnte dieser das ja jederzeit ändern.
Deshalb sollte man niemals das gleiche Passwort mehrfach verwenden.
Um auch noch die Frage im Titel zu beantworten:
Werden Passwörter bei allen Anbietern auf dieselbe Weise gehasht?
Es gibt verschiedene Hashfunktionen, und manche davon lassen sich noch einmal mit Parametern anpassen, aber man kann schon davon ausgehen, dass viele die gleiche Funktion mit den gleichen Parametern verwenden.
Es wird empfohlen, nicht nur das Passwort zu hashen, sondern einen sogenannten Salt (z.B. zufällig generierte Bytes) hinzuzufügen. Statt hash = H(pw) nimmt man also hash = H(pw || salt) und speichert salt auch ab. Dadurch wird verhindert, dass Angreifer im Voraus berechnete Hashwerte nutzen können, um Passwörter zu finden, nachdem sie Zugang zu gehashten Passwörtern erhalten (z.B. durch einen Leak).
Nein. Es gibt unterschiedliche Verfahren, allerdings ist best-practice auf gut erforschte, standartisierte Verfahren zu setzen, die auf Password Hashing ausgelegt sind.
Mehr im DetailPasswörter werden ja verschlüsselt gespeichert.
Verschlüsselung und Hashfunktionen sind nicht das selbe, bei Verschlüsselungen kannst du Daten wieder entschlüsseln, sichere Hashfunktionen sind one way, also können nicht wieder "entschlüsselt" werden.
Wenn ich also … überall, auch evtl beim E-Mailanbieter, die selben Zugangsdaten verwende und dann bei einer Plattform durch Phishing gehackt werde, kann die jeweils andere Plattform dann anhand der verschlüsselten Passwörter dann … meinen anderen Account hacken?
- Bei Phishing gibst du selber dein Passwort versehentlich an Angreifer, hier bringt Hashing gar nichts, da du ja dein Passwort im Klartext eingibst. Was du beschreibst wäre nicht bei Phishing relevant, sondern, wenn die Seite einen Data Breach hat und Passwort Hashes geleakt werden
- Bei Passwort Hashing wird üblicherweise ein salt hinzugefügt, welches komplett zufällig ist. Beim Login wird das Salt mit deinem Passwort gemischt. Das verhindert, dass bei zwei unterschiedlichen Personen oder Plattformen mit selben Passwort der selbe Hash raus kommt. Dadurch kannst du nicht einfach eine Liste mit bekannten Passwörtern und deren Hashwerten erstellen (sogenannte Rainbow Tables), weil durch das zufällige Salt sich bei jeder Person und Plattform ein anderer Hash-Wert erigbt.
Also können die Betreiber von Reddit daraus ableiten, dass ich auf Gutefrage dasselbe Passwort habe?
Nein. Allerdings könnte ein Webseiten Betreiber natürlich dein Passwort abfangen und es auf anderen Plattformen verwenden. Würde ein seriöser Betreiber natürlich nie machen, aber du vertraust den Betreibern am Ende, dass sie mit deinem Passwort sicher und verantwortungsbewusst umgehen, eine Garantie hast du natürlich nie.
Außerdem könnte es Hackern gelingen dein Passwort zu erraten nach dem eine Seite einen Breach hatte, dass kann passieren wenn eine Seite entweder ihr Passwort Hashing schlecht umsetzt (in richtig krassen Fällen haben Seiten so etwas gar nicht genutzt) oder du ein schlechtes Passwort hast. Deswegen ist es grob fahrlässig für unterschiedliche Seiten das selbe Passwort zu nutzen, insbesondere für wichtige Accounts wie deinen Mail Account. Ob du schon mal von einem Breach betroffen warst kannst du z.b. über haveibeenpwned checken.
Ich könnte dazu auch viel mehr sagen, aber das wäre erst mal grob das wichtigste. Es ist aus ganz vielen Gründen schlecht das selbe oder ähnliche Passwörter zu nutzen.
Die Lösung- auf jeder Seite ein anderes Passwort benutzen, über einen Passwort Manager zufällige generieren lassen. Das kann der eingebaute in iOS sein, oder ein anderes Programm wie KeePassXC oder Bitwarden (das wären auch die, die ich persönlich empfehle).
- Nutze Passkeys oder FIDO security keys, die können nicht gephisht werden.
- Falls du Passwörter für wichtige Accounts nutzt, nutze MFA. Also noch einen anderen Faktor wie z.B. Zahlen Codes die auf deinem Handy generiert werden und du beim Login eingeben musst.
Kommt auf den Anbieter an, bei Microsoft gibt es zb Passwortlose Konten.
Natürlich sind viele Anbieter einfach noch nicht so weit.
Es ist eben ein sichereres Verfahren, du kannst natürlich dann selber darauf achten, dass du das Passwort nicht nutzt und es stört nicht wenn du ein längeres zufälliges Passwort einstellst weil du es ja nicht mehr eintippen musst, für viele ist ja der Grund für schlechte Passwörter einfach Bequemlichkeit.
Da wo du Passwörter brauchst nutzt du dann eben den anderen Tipp mit dem Passwort Manager.
"Miicrosoft gibt es zb Passwortlose Konten" Dann kann man sich aber leicht aussperren.
Hey,
du vermischt in deiner Frage 2 Sachen: Phishing und das Speichern von Passwörtern.
Wenn du überall das selbe Passwort nutzt und du auf Phishing hereinfällst, kann der Angreifer natürlich versuchen sich mit diesen Daten auch bei anderen Diensten anzumelden.
Passwörter werden Gehasht (Hashing) gespeichert, dass ist etwas anders als Verschlüsseln. An sich lässt sich aus dem Hash jedoch nicht dein verwendetes Passwort herausfinden (solange dieses halbwegs sicher ist). Also können Betreiber einer Seite nicht einfach so dein Passwort herausfinden.
Trotzdem solltest du auf jeden Fall für jeden Service ein eigenes Passwort nutzen, um dich gegen Phishing und Datenleaks abzusichern. Dann hat es weniger große Auswirkungen, wenn doch mal ein Passwort in falsche Hände gerät.
Mfg Jannick (L1nd)
"Nutze Passkeys" Mach ich ja, aber man hat trotzdem noch die Möglichkeit, sich mit Passwort anzumelden