Limon
15.11.2018, 12:40
Woher wissen Webseiten ob ein Passwort zu ähnlich zu dem vorherigen ist (Hash)?

Möchte man bei einigen Accounts oder Webseiten sein Passwort ändern erscheint manchmal die Meldung, dass das Passwort zu viele Ähnlichkeiten mit dem vorherigen Passwort besitzt.

Soweit ich weiß werden Passwörter zur Sicherheit in Datenbanken als Hashwerte gespeichert.

Bei einem Hash-Algorithmus ändert sich der vollständige Hashwert schon bei kleinen Veränderungen am Passwort.

Woher wissen diese Services, dass das Passwort starke Ähnlichkeit mit dem vorherigen Passwort hat? Ist bei so einer Meldung davon auszugehen, dass die Passwörter in Klartext gespeichert werden?

Viele Grüße

 ...zum Beitrag
Hilfreichste Antwort
von verreisterNutzer
15.11.2018, 12:49

Moin.

Wenn Du auf einer Webseite ein Passwort ändern willst, muss Dein bisheriges nicht aus einer Datenbank gelesen werden.

Geben sie ihr altes Passwort ein:
Geben sie ihr neues Passwort ein:
Wiederholen sie ihr neues Passwort:

Da braucht es weder Datenbank noch Hashwerte. In dem Augenblick wo Du Dein Altes und Dein Neues in einer solchen Maske eingibst, liegen dem Server beide zum direkten Vergleich vor.

Die Eingaben werden nicht sofort gehasht (wenn denn überhaupt) und in die DB gelegt. Wäre ja auch Schwachsinn. Schließlich lässt sich aus einem Hash nicht mehr erkennen, ob das eingegebene Passwort bestimmte Mindestmerkmale wie Groß-/ Kleinschreibung, Zahlen oder Sonderzeichen erfüllt.

<

 ...zur Antwort