Profil von verreisterNutzer

15.11.2018, 12:40

Woher wissen Webseiten ob ein Passwort zu ähnlich zu dem vorherigen ist (Hash)?

Möchte man bei einigen Accounts oder Webseiten sein Passwort ändern erscheint manchmal die Meldung, dass das Passwort zu viele Ähnlichkeiten mit dem vorherigen Passwort besitzt.

Soweit ich weiß werden Passwörter zur Sicherheit in Datenbanken als Hashwerte gespeichert.

Bei einem Hash-Algorithmus ändert sich der vollständige Hashwert schon bei kleinen Veränderungen am Passwort.

Woher wissen diese Services, dass das Passwort starke Ähnlichkeit mit dem vorherigen Passwort hat? Ist bei so einer Meldung davon auszugehen, dass die Passwörter in Klartext gespeichert werden?

Viele Grüße

...zum Beitrag

Antwort

von verreisterNutzer

15.11.2018, 12:45

Weil du, wenn du dein Passwort ändern möchtest, auf vielen Webseiten erst dein altes Passwort eingeben musst. Sie können also die Passwörter vergleichen.

Es gibt aber auch Webseiten, die speichern die Passwörter nicht verschlüsselt und auch nicht als hash. Es gibt da regelmäßig Skandal-Berichte, wenn mal wiedr die Daten von Millionen von Kunden/Nutzern geklaut wurden und dort Klartextpasswörter gespeichert wurden.

Letztes "großes" Beispiel war wohl in Deutschland der Chat Knuddels.de, wo alle Passwörter im Klartext gespeichert wurden. Mitte des Jahres wurde deren Datenbank veröffentlicht mit allen Nutzerdaten (samt Passwörtern). Die Datenbank belief sich wohl auf knapp 2.000.000 Datensätze, darunter dann Mail-Adressen, Passwörter usw.

...zur Antwort