Die Entschlüsselung von Passwort-Hashes ist unmöglich. Nicht nur sha1 kann man nicht entschlüsseln, sogar die noch ältere Hashfunktion md5 ist absolut unmöglich zu entschlüsseln. Man kann gehashte Passwörter erraten und man kann abhängig von Grad der Robustheit einer Hashfunktion Kollisionen erzeugen.

Ich verstehe ja, dass man im normalen Sprachgebrauch und in der Boulevardpresse diesen Sachverhalt nicht korrekt beschreiben kann. Aber selbst bei heise.de – der Online- und Offline-Fachpresse im professionellem IT-Bereich – ist man leider nicht in der Lage das korrekt darzustellen:

„Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.“

Quelle: https://www.heise.de/security/meldung/Finger-weg-von-SHA-1-320-Millionen-Passwoerter-geknackt-3822005.html

Kein Wunder, dass ich bei „IT Professionals“ immer mal wieder Diskussionen mitbekomme wie:

„Wir haben das base64 verschlüsselt.“

„Die Passwörter liegen sha512 verschlüsselt in der Datenbank.“

„Welchen Algorithmus verwenden Sie zur Verschlüsselung?“ – „SSL“

Korinthenkackerei? Vielleicht. Aber man muss im professionellen Umfeld schon verstehen, was der Unterschied von einer Hash- bzw. Einwegfunktion und einem Verschlüsselungsalgorithmus ist und welche Verfahren man wann warum anwendet. Passwörter verschlüsseln ist meistens – bis vielleicht auf Ausnahmen – eine schlechte Idee. Wenn  man sie nicht verschlüsselt, kann man sie auch nicht entschlüsseln. Nur vielleicht erraten und cracken..