Mike Kuketz
14. November 2017 | 08:49 Uhr

Verschlüsselung mit SHA256 und Co. ist unmöglich

Ich bekomme häufig Diskussionen mit, wo selbst IT-Profis solche Sätze fallen lassen:

Unsere Passwörter liegen SHA256 verschlüsselt in der Datenbank.

Zur Verschlüsselung nutzen wir bcrypt.

Oder man liest auf heise.de:

Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.

Das ist schlichtweg falsch. Man kann Passwörter die zuvor mit SHA-1 oder einem anderen Hash-Algorithmus gehasht wurden nicht wieder »entschlüsseln«. (Kryptografische) Hash-Algorithmen basieren auf einer mathematischen Einwegfunktion: Eine einfach zu berechnende Funktion, deren Umkehrung jedoch nicht oder nur sehr schwer zu berechnen ist. Wenn also gehashte Passwörter wieder in ihre Ursprungsform (Urbild) gebracht werden, dann ist »Entschlüsselung« der falsche Begriff. Wir können uns auf Begriffe wie erraten oder vielleicht auch noch cracken (auf Basis von Rainbow-Tabellen) einigen, aber ganz sicher nicht auf entschlüsseln.

Es ist einfach nicht korrekt bei der Verwendung einer Hashfunktion von Ver- und Entschlüsselung zu sprechen. Eine Hashfunktion ist nunmal kein Verschlüsselungsalgorithmus.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
Sicheres Passwort
1. Februar 2017

Sicheres Passwort wählen: Der Zufall entscheidet

Ein Wegweiser für den kompetenten Umgang mit sicheren Passwörtern.
E-Mail Verschlüsselung
19. Juli 2013

Verschlüsselte E-Mails mit GnuPG als Supergrundrecht

E-Mail Verschlüsselung mit GnuPG als Schutz gegen Datenschnüffellei.
SSL
12. September 2013

NSA abhörsichere SSL-Verschlüsselung für Apache und nginx

Mit den richtigen SSL-Cipher-Suites für Apache und nginx hat die NSA derzeit keine Chance verschlüsselte Kommunikation zu dekodieren.
Identity-Theft
5. Dezember 2021

Tracking durch Identitätsprovider

Nach den Cookies kommen die Identitätsprovider. Wir testen Datenschutz und Verbreitung der weltweiten Login-Matrix in Deutschland.
Airgeddon
6. Mai 2019

Airgeddon: Wie WLANs gehackt werden und wie man sich davor schützt

Airgeddon: Das Hacken von WLANs ist einfacher als viele glauben. Mit einfachen Maßnahmen kann man sich davor schützen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.