Hashwerte haben ein breites Anwendungsfeld, zum Beispiel als Marker für Speicherorte oder als digitaler Fingerabdruck zur Verifizierung von Dateien. Sie entstehen durch sogenannte Hashfunktionen, also mathematische Verfahren, die Eingabedaten in eine Zeichenkette fester Länge umwandeln. Eine besonders wichtige Rolle spielen Hashfunktionen bei der Passwortsicherheit. Nachfolgend erläutern wir, wie Hashing-Algorithmen zur Datensicherheit beitragen und worauf Unternehmen achten sollten.

Dieser Beitrag richtet sich nicht an Entwickler. Stattdessen soll er Führungskräften, die aufgrund ihres Tagesgeschäfts nicht über das technische Detailwissen verfügen, die Thematik praxisnah näherbringen.

Was ist ein Hashwert?

Ein Hashwert ist das Ergebnis einer Hashfunktion, also die Zeichenkette, die nach der mathematischen Verarbeitung von Eingabedaten entsteht.

Beispiel: Ein Nutzer soll ein Passwort vergeben und gibt die Zeichenkette „Datenschutz“ ein. Das System berechnet daraus über einen Hashing-Algorithmus einen Hashwert.

1. Eingabe des Passworts → „Datenschutz“
2. Berechnung des Hashwerts via MD5 → „3da775df8d065507c482a20bf7a93427“

Unabhängig von der Länge der Eingabe liefert die Hashfunktion stets eine Zeichenkette mit fixer Länge. Hashwerte sind dabei nicht umkehrbar, d.h. es lässt sich aus dem Hashwert das ursprüngliche Passwort nicht direkt rekonstruieren.

Warum Hashwerte statt Passwörter im Klartext speichern?

Weshalb Hashwerte in Verbindung mit Passwörtern eine zentrale Rolle spielen, verdeutlicht der folgende Login-Prozess:

  1. Authentisierung: Der Nutzer gibt seine Zugangsdaten (Benutzername und Passwort) ein.
  2. Hashfunktion: Das System erzeugt aus dem Passwort einen Hashwert.
  3. Authentifizierung: Der erzeugte Hashwert wird mit dem gespeicherten Hashwert in der Datenbank verglichen. Bei Übereinstimmung wird der Zugriff gewährt.

Das Passwort selbst wird nicht gespeichert, sondern lediglich sein Hashwert. Dies hat entscheidende Vorteile:

  • Administratoren und interne Angreifer können gespeicherte Passwörter nicht auslesen oder missbrauchen.
  • Im Fall eines Datendiebstahls sind keine direkt nutzbaren Zugangsdaten vorhanden.

Auch ein Angreifer kann sich mit einem gestohlenen Hashwert nicht anmelden. Gibt er den Hashwert selbst ein, erzeugt das System einen neuen, nicht übereinstimmenden Wert. Der Zugriff bleibt verwehrt.

Angriffe auf Passwort-Hashing

Die Verwendung von Hashwerten erhöht die Sicherheit, ist aber kein vollständiger Schutz. Angreifer verfügen über Methoden, um Passwörter aus bekannten Hashwerten zu ermitteln:

  • Brute-Force-Angriffe: Automatisiertes Durchprobieren möglicher Zeichenkombinationen mit hoher Rechenleistung.
  • Dictionary-Angriffe: Durchprobieren gängiger Begriffe aus Wörterbüchern, da viele Nutzer einfache Passwörter verwenden.
  • Rainbow Tables: Vorgefertigte Tabellen mit Millionen Hashwerten und zugehörigen Klartextpasswörtern. Sie ermöglichen einen schnellen Abgleich statt aufwendiger Neuberechnung.

Solche Offline-Angriffe setzen keine direkte Systemverbindung voraus. Der Angreifer benötigt nur die erbeuteten Hashwerte.

Rainbow Tables sind besonders gefährlich, verlieren aber an Wirksamkeit, wenn Passwörter mit individuellen Zusätzen verändert wurden. Dazu mehr im nächsten Abschnitt.

Fingerprinting vs. kryptografische Algorithmen

Viele Hashing-Algorithmen wie MD5 oder SHA1 wurden ursprünglich nicht für die sichere Speicherung von Passwörtern, sondern zur Integritätsprüfung (Fingerprinting) von Dateien entwickelt. Sie sind zwar schnell, aber anfällig für Kollisionen und leicht rückrechenbar, wenn leistungsstarke Hardware zum Einsatz kommt.

Für sichere Passwortspeicherung sollten ausschließlich dafür konzipierte kryptografische Hashfunktionen verwendet werden. Diese zeichnen sich durch langsame, rechenintensive Berechnungen aus und erhöhen den Aufwand für Angreifer erheblich. Zu den bewährten Algorithmen zählen:

  • Argon2 (empfohlen vom BSI und Gewinner des Password Hashing Competition)
  • PBKDF2 (verbreitet in vielen Unternehmensanwendungen)
  • scrypt (entwickelt zur Abwehr von Hardware-basierten Angriffen)
  • SHA3 (als Nachfolger von SHA2 standardisiert)
  • RIPEMD-320 (für spezielle kryptografische Anwendungen)

Je langsamer der Hashing-Vorgang, desto ineffizienter werden Massenangriffe. Für Unternehmen ist die Wahl des richtigen Algorithmus daher ein wichtiger Bestandteil der IT-Sicherheitsstrategie.

Verfahren für mehr Sicherheit

Die Sicherheit lässt sich durch zusätzliche Maßnahmen weiter erhöhen:

  • SALT: Eine pro Nutzer individuell erzeugte, zufällige Zeichenkette wird dem Passwort vor dem Hashing hinzugefügt. So entstehen selbst bei gleichen Passwörtern unterschiedliche Hashwerte.
  • PEPPER: Eine systemweit einheitliche Zeichenkette wird zusätzlich zum Passwort verwendet. Sie ist für Angreifer unzugänglich, da sie nicht in der Datenbank gespeichert wird.

SALT und PEPPER erschweren den Einsatz von Rainbow Tables und erhöhen den Rechenaufwand für Brute-Force-Angriffe erheblich. Beide Verfahren gelten heute als Standard in sicherheitsbewussten Organisationen.

Passwörter sind trotzdem ein Risiko

Trotz sicherer Speicherung bleibt ein Problem: Passwörter sind aus Nutzersicht oft schwer zu merken, werden häufig wiederverwendet und sind bei Phishing oder durch Social Engineering angreifbar.

Deshalb setzen moderne Sicherheitsstandards wie FIDO2 auf passwortlose Verfahren. Dabei wird ein Schlüsselpaar verwendet: Ein privater Schlüssel verbleibt sicher auf dem Gerät des Nutzers, während ein öffentlicher Schlüssel auf dem Server liegt. Diese Form der Authentifizierung bietet höhere Sicherheit und bessere Benutzerfreundlichkeit.

Starke Passwörter als Grundlage

Solange Passwörter noch genutzt werden, bleibt deren Qualität entscheidend. Unternehmen sollten klare Passwortrichtlinien definieren, beispielsweise zur Mindestlänge, zur Kombination aus Buchstaben, Zahlen und Sonderzeichen sowie zu Wechselintervallen.

Zur Unterstützung können sichere Passwort-Generatoren eingesetzt werden. Sie erzeugen starke, zufällige Passwörter, die aktuelle Empfehlungen erfüllen. Auch der Einsatz von Passwortmanagern kann im Unternehmen dazu beitragen, Sicherheitsstandards konsequent umzusetzen.

Fazit

Hashing schützt Passwörter effektiv vor unbefugtem Zugriff, wenn moderne Verfahren korrekt eingesetzt werden. Entscheidend sind die Wahl des richtigen Algorithmus, ergänzende Schutzmaßnahmen wie SALT und PEPPER sowie klare Richtlinien für die Passwortvergabe. Noch besser: Die Umstellung auf passwortlose Authentifizierungslösungen wie FIDO2, die sowohl Sicherheit als auch Benutzerkomfort verbessern. Unternehmen, die ihre Zugangssicherheit auf den Prüfstand stellen möchten, sollten sich fachkundig beraten lassen. Wir unterstützen Sie dabei gern.

Fragen & Antworten zum Thema

Was sind Kollisionen beim Passwort-Hashing?

Der Hashwert ist das Ergebnis einer Rechenoperation: Der Hashing Algorithmus verarbeitet eine vom Nutzer eingegebene Zeichenkette, nämlich das Passwort. Man sollte meinen, dass jede eingegebene Zeichenkette zu einem einzigartigen Ergebnis führt.

Allerdings ist dies nicht bei jedem Algorithmus gewährleistet. Es kann sein, dass die Eingabe eines vollkommen anderen Begriffs zur Berechnung desselben Hashwerts führt. Dann liegt eine sogenannte Hash-Kollision vor, also ein Fall, bei dem zwei unterschiedliche Eingaben denselben Hashwert ergeben. Solch eine Eigenschaft verringert die Passwortsicherheit. Sie erhöht die Wahrscheinlichkeit, dass Hacker ein Passwort errechnen, mit dem der Login gelingt – auch wenn dieses Passwort anders lautet als vom Nutzer ursprünglich gewählt.

Warum kennen Hacker die Hashing Algorithmen?

Die Anzahl an Hashing Algorithmen ist überschaubar und letztlich müssen Entwickler auf bewährte Lösungen zurückgreifen. Zugleich beherrschen viele Server-Installationen standardmäßig nur wenige Algorithmen. Dies ist einer der Hauptgründe, weshalb immer noch so viele Entwickler beim Passwort Hashing ihre Daten mit MD5 verarbeiten.

Via Internet finden Cyberkriminelle den Zugang zu Wissen und Tools, die sie für ihre Angriffe benötigen. Folglich ist es umso sinnvoller, Kennwörter mit kryptografischen Algorithmen verbunden mit SALT oder PEPPER Verfahren zu verarbeiten. Sie tragen maßgeblich zur Erhöhung der Passwortsicherheit bei, insbesondere im Fall von Datenlecks oder Angriffen.

Philipp Herold

Über Philipp Herold

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen