Die Entschl\u00fcsselung von Passwort-Hashes ist unm\u00f6glich. Nicht nur sha1 kann man nicht entschl\u00fcsseln, sogar die noch \u00e4ltere Hashfunktion md5 ist absolut unm\u00f6glich zu entschl\u00fcsseln. Man kann gehashte Passw\u00f6rter erraten und man kann abh\u00e4ngig von Grad der Robustheit einer Hashfunktion\u00a0Kollisionen erzeugen.<\/p>\n
Ich verstehe ja, dass man im normalen Sprachgebrauch und in der\u00a0Boulevardpresse diesen Sachverhalt nicht korrekt beschreiben kann. Aber selbst bei heise.de – der Online- und Offline-Fachpresse im\u00a0professionellem IT-Bereich – ist man leider nicht in der Lage das korrekt darzustellen:<\/p>\n
„Wenn Webseitenbetreiber Passw\u00f6rter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in \u00fcberschaubarer Zeit Millionen Passw\u00f6rter entschl\u00fcsselt haben.“<\/p>\n
Quelle: https:\/\/www.heise.de\/security\/meldung\/Finger-weg-von-SHA-1-320-Millionen-Passwoerter-geknackt-3822005.html<\/p><\/blockquote>\n
Kein Wunder, dass ich bei „IT Professionals“ immer mal wieder Diskussionen mitbekomme wie:<\/p>\n
„Wir haben das base64 verschl\u00fcsselt.“<\/p>\n
„Die Passw\u00f6rter liegen sha512 verschl\u00fcsselt in der Datenbank.“<\/p>\n
„Welchen\u00a0Algorithmus verwenden Sie zur Verschl\u00fcsselung?“ – „SSL“<\/p><\/blockquote>\n
Korinthenkackerei? Vielleicht. Aber man muss im professionellen Umfeld schon verstehen, was der Unterschied von einer Hash- bzw. Einwegfunktion und einem Verschl\u00fcsselungsalgorithmus ist und welche Verfahren man wann warum anwendet. Passw\u00f6rter verschl\u00fcsseln ist meistens – bis vielleicht auf Ausnahmen – eine schlechte Idee. Wenn \u00a0man sie nicht verschl\u00fcsselt, kann man sie auch nicht entschl\u00fcsseln. Nur vielleicht erraten und cracken..<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Entschl\u00fcsselung von Passwort-Hashes ist unm\u00f6glich. Nicht nur sha1 kann man nicht entschl\u00fcsseln, sogar die noch \u00e4ltere Hashfunktion md5 ist absolut unm\u00f6glich zu entschl\u00fcsseln. Man kann gehashte Passw\u00f6rter erraten und man kann abh\u00e4ngig von Grad der Robustheit einer Hashfunktion\u00a0Kollisionen erzeugen. Ich verstehe ja, dass man im normalen Sprachgebrauch und in der\u00a0Boulevardpresse diesen Sachverhalt nicht korrekt … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-2360","6":"format-standard","7":"category-it-sicherheit"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=2360"}],"version-history":[{"count":11,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2360\/revisions"}],"predecessor-version":[{"id":2371,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2360\/revisions\/2371"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=2360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=2360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=2360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}