Peppering ist nicht nur ein Wort, das sich auf kulinarische Fähigkeiten bezieht; es ist auch ein wichtiger kryptografischer Prozess in der Passwortsicherheit. Es ist wichtig, dass Passwörter sicher und geschützt vor Hackerangriffen aufbewahrt werden. Pfeffer hilft dabei. Was ist Peppering und wie trägt es dazu bei, dass Ihre Passwörter sicher bleiben?
Was ist Pfeffern?
Peppering ist ein kryptografischer Prozess, bei dem einem Passwort eine geheime und zufällige Zeichenfolge hinzugefügt wird, bevor es gesalzen und gehasht wird, um es sicherer zu machen. Die Zeichenfolge, die dem Passwort hinzugefügt wird, wird Pfeffer genannt. Der Pfeffer verändert den Hash eines Passworts insgesamt und macht es immun dagegen Brute-Force-Angriffe und das Knacken von Passwörtern unter Verwendung von Wörterbuchtabellen und Regenbogentabellen.
Wie funktioniert Pfeffern?
Peppering ist eine zusätzliche Sicherheitsebene, die Passwörtern hinzugefügt wird. Betrachten Sie es als verschiedene Toppings auf einem Kuchen. Der einfache Kuchen ist ein Klartext-Passwort und Hashing ist das letzte Topping – sagen wir, Streusel. Wenn Sie Streusel direkt auf den Kuchen geben würden, würde es nicht viel gut aussehen. Genauso verhält es sich mit der Passwortsicherheit.
Nur ein Passwort zu hashen ist nicht sicher, da das Passwort leicht geknackt werden kann. Deshalb machen die anderen Toppings, Salz und Pfeffer (ironischerweise), den Kuchen besser – wie sie es mit Passwörtern tun
Was bedeutet es also eigentlich, dass ein Passwort gehasht wird? Hashing ist ein Einweg-Verschlüsselungsprozess in der Kryptografie. Passwörter, die gehasht werden, sind im Grunde verschlüsselt, und anstatt die Klartext-Passwörter in einer Datenbank zu speichern, werden die Hashes gespeichert. Wenn Sie Ihr Passwort eingeben, wird es gehasht und dann mit dem gehashten Passwort in der Datenbank verglichen. So validiert das System Ihre Identität.
Genauso wie Salzen, ein Pfeffer wird an ein Passwort angehängt, um es sicherer zu machen. Ein Passwort wird also von einem einfachen Klartextpasswort in den Hash von Passwort+Salz+Pfeffer umgewandelt. Für den Fall, dass ein Hacker Zugriff auf die Salts und/oder sogar die Passwörter von Benutzern erhält, wäre der Hacker nicht in der Lage, das gehashte Passwort zu entschlüsseln, da der Pfeffer den Hash insgesamt ändert.
Vergleichen Sie beispielsweise den Hash eines einfachen Passworts, eines Salted-Passworts und eines Peppered-Passworts. Lassen Sie das Passwort „1yAm0r1a!“, das Salz „eW3dU%“ und das Pfeffer „Am41a?“ sein.
| Passworttext | Hash-Passwort | |
| Klartext-Passwort | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Gesalzenes Passwort | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Gepfeffertes Passwort | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Kann ein Pfeffer ohne Salz verwendet werden?
Ja, ein Passwort kann ohne Salt verwendet werden. Dies ist jedoch nicht ideal für die Passwortsicherheit. Wenn ein Angreifer den Pepper einer Site kennt, wird diese Site anfällig für Angriffe, da der Pepper für alle Passwörter in der Datenbank verwendet wird.
Was ist der Unterschied zwischen Pfeffern und Salzen?
Pfeffer ist in gewisser Weise eine Art Salz. Beide machen Passwörter sicherer, aber sie sind unterschiedlich. Im Gegensatz zu Salzen ist Paprika geheim, statisch und nicht zufällig generiert.
Paprika werden nicht zufällig generiert
Wenn Sie sich bei einer Website anmelden und Ihr Passwort eingeben, wird vor dem Hashing zufällig ein Salt für Sie generiert. Beim Pfeffern ist das anders.
Beim Pfeffern wählt der Eigentümer der Website den Pfeffer aus. Der Eigentümer der Website ist dafür verantwortlich, sicherzustellen, dass der ausgewählte Pfeffer sicher und stark genug ist. Natürlich kann der Websitebesitzer einen Zufallswertgenerator verwenden, um eine Paprika auszuwählen.
Peppers sind statisch breit
Wenn etwas statisch ist, bedeutet das, dass es sich nicht ändert. Beim Salting wird jedes Salt für jeden Benutzer in der Datenbank generiert. Aber ein Pfeffer wird in der gesamten Datenbank verwendet. Es gibt keine Paprika für einzelne Benutzer.
Paprika wird geheim gehalten
Im Gegensatz zu Salzen, die in der Datenbank einer Website zu finden sind, ist Paprika geheim. Sie werden nicht zusammen mit den Salts und Hashes in der Datenbank gespeichert; das würde Paprika sinnlos machen.
Stattdessen werden Paprika in einem sicheren und separaten Teil der Site-Anwendung gespeichert. Dies ist wichtig, denn für den Fall, dass ein Hacker eine Website kompromittiert und Zugriff auf die Passwörter erhält und Salze von Benutzern auf dieser Seite, sie könnten keine Passwörter knacken, weil sie die nicht kennen Pfeffer.
Die Wahl eines guten Pfeffers
Die Wahl eines guten Pfeffers ist genauso wichtig wie die Wahl eines guten Passworts. Genau wie Passwörter sollten Peppers ziemlich lang und einzigartig sein. Denken Sie daran, dass auf der gesamten Website ein Pfeffer verwendet wird. Wenn ein Hacker den Pfeffer erzwingt oder errät, wäre Ihre Website anfällig. Verwenden Sie den Namen Ihrer Website nicht als Pfeffer. Das entspricht der Verwendung von „Password123“ als Passwort.
Eine weitere Alternative ist die Verwendung eines Passwortgenerators. Es gibt online viele Passwortgeneratoren, die verwendet werden können, um eine gute Paprika auszuwählen.
Eine andere Methode des Pfefferns besteht darin, den Pfeffer überhaupt nicht zu lagern. Stattdessen ist der Pfeffer eine kurze Zeichenfolge, und wenn sich ein Benutzer bei der Website anmeldet, erzwingt oder durchläuft das System eine Reihe möglicher Pfeffer, bis der richtige verwendet wird. Dies dauert länger, daher muss eine kurze Paprika verwendet werden.
Ein einfaches, aber unsicheres Beispiel für diese Methode ist, den Pfeffer alphabetisch zu machen. Wenn Sie sich anmelden, durchläuft die Site jeden Buchstaben des Alphabets – Klein- und Großbuchstaben –, bis der Pfeffer richtig ist.
Obwohl es üblich ist, einen Pfeffer an einer Stelle zu verwenden, ist es möglich, mehr als einen auf einmal zu haben. Eine Paprika wird einem Nutzer bei der Anmeldung zufällig aus einer Paprika-Gruppe zugeteilt. Wenn sich dieser Benutzer anmeldet, wird jeder Pfeffer ausprobiert, bis der diesem Benutzer zugewiesene ausgewählt wird.
Ist Peppering wirksam bei der Erhöhung der Sicherheit?
Ja. Wenn ein Pfeffer mit einem Salz verwendet wird, ist es für einen Hacker unglaublich schwierig, das Passwort eines Benutzers zu knacken. Selbst wenn Benutzer schwache Passwörter oder dieselben Passwörter verwenden, würde ein Hacker es nie erfahren, weil der Pfeffer den Hash verändert. Mit Peppering wird die Sicherheit von Passwörtern sehr stark erhöht.
7 häufige Passwortfehler, die Sie wahrscheinlich hacken werden
Lesen Sie weiter
Verwandte Themen
- Sicherheit
- Online-Sicherheit
- Internet-Sicherheit
Über den Autor
Chioma ist eine technische Redakteurin, die es liebt, durch ihr Schreiben mit ihren Lesern zu kommunizieren. Wenn sie nicht gerade etwas schreibt, trifft man sie oft mit Freunden ab, engagiert sich ehrenamtlich oder probiert neue Tech-Trends aus.
Abonnieren Sie unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Klicken Sie hier, um sich anzumelden
