Sind Ihre Passwörter gut gewählt? Das allein reicht jedoch nicht aus, um ihre Sicherheit zu garantieren. Mit der zunehmenden Leistungsfähigkeit moderner Computertechnik wird es immer schwieriger, sich gegen ausgeklügelte Angriffe zu wappnen.
Ein sicheres Passwort ist wichtig. Doch nicht nur die Auswahl ist entscheidend, sondern auch der Schutz. Ein Passwort, das in einer unsicheren Verbindung eingesehen wird, hat kein langes Leben. Es wird übertragen, gespeichert und kann unter bestimmten Umständen sogar veröffentlicht werden. Hacker sind sich dessen bewusst: Ein Passwort, egal wie kompliziert, ist nur dann wertvoll, wenn es ausgelesen werden kann. Hier kommt das Hash-Verfahren ins Spiel, das schlichte Zeichenfolgen in unlesbare, einmalige Abdrücke verwandelt. Die Frage bleibt, ob diese Methode mit der Fortschrittlichkeit moderner Angriffe Schritt halten kann.
Vom Passwort zum Hash: Was passiert wirklich, wenn Sie sich anmelden?
Das Konzept des Hashings basiert auf einer schlichten Idee: Die Umwandlung eines Passworts in eine schwer verständliche, einzigartige Zeichenkette, die nicht mehr in ihre ursprüngliche Form zurückverwandelt werden kann. Beim Speichern eines Passworts in einer Datenbank – sofern die Sicherheitsrichtlinien beachtet werden – wird nicht das lesbare Passwort gespeichert, sondern sein digitaler Fingerabdruck, also der Hash. Bei jedem Anmeldeversuch vergleicht das System aus diesem Grund nicht die Passwörter, sondern ihre entsprechenden Hashes.
Dieser kryptografische Mechanismus hat den Vorteil, dass selbst im Fall eines Datenlecks ein Hacker diese Hashes nicht sofort für seine Zwecke nutzen kann. Doch hier liegt der Haken: Kein Hash-Algorithmus ist absolut sicher. Einige, wie MD5 oder SHA-1, die früher als Standard galten, haben heute ernsthafte Schwächen. Sie sind zu sichtbar und vorhersehbar und geben den modernen Berechnungsfähigkeiten nach.
Zudem wurden Kollisionen festgestellt, wodurch zwei unterschiedliche Passwörter denselben Hash erzeugen können. Das bedeutet, ein Hacker mit einer leistungsstarken Grafikkarte könnte ein simples Passwort, das unter MD5 gespeichert ist, mittels Brute-Force-Methoden oder Kollisionen sehr schnell knacken. Das klingt nicht sehr beruhigend.

Die Verlangsamerung der Hacker: Die wahre Aufgabe des Hashings
In diesem Zusammenhang spielt die Zeit eine entscheidende Rolle. Generell gilt: Je komplexer und robuster der Algorithmus, desto mehr verlangsamt er die Versuche, ihn zu knacken. Diese Überlegung hat zur Entwicklung neuer klassischer Algorithmen wie Bcrypt, Scrypt oder Argon2 geführt. Diese Varianten erschweren den Hackern das Leben erheblich.
Das Besondere an diesen Algorithmen ist ihre Anpassungsfähigkeit: Sie können so konfiguriert werden, dass sie dieberechnungsintensive Anforderung zur Entschlüsselung erhöhen. Mit der Steigerung der Maschinenleistung wird der Angriff immer länger und kostenintensiver.
Mit Hackern, die über leistungsstarke GPUs oder spezialisierte ASICs verfügen, die Millionen von Kombinationen pro Sekunde generieren können, sind diese Algorithmen auf Qualität ausgelegt. Scrypt beispielsweise ist nicht nur auf die Verlangsamung fokussiert; es erfordert auch erhebliche Speicherkapazitäten. Das bedeutet, dass selbst die leistungsstärksten Geräte nicht immer effektiv bleiben können.
Es ist nicht das Hashing an sich, das ein Passwort sicher macht, sondern die Zeit, die Hacker benötigen, um es zu knacken. Durch das Erhöhen der zeitlichen und technischen Hürden werden diese Algorithmen solche Angriffe extrem kostspielig gestalten, was die Wahrscheinlichkeit, dass sie durchgeführt werden, stark verringert und die Hacker dazu zwingt, ihre Taktiken zu überdenken.

Hacker und Hashes: Umgehen statt Knacken
Heute kostet es Hacker viel Zeit und Geld, einen guten Hash-Algorithmus zu brechen. Anstatt ihr Glück mit unzähligen Kombinationen zu versuchen, bevorzugen sie oft einen anderen Ansatz. In den meisten Fällen zielen Angriffe nicht auf das Hashing selbst ab, sondern nutzen die Schwächen, die damit verbunden sind.
Ein klassischer Fehler ist die Wahl zu einfacher Passwörter. Unabhängig von der Robustheit eines Algorithmus benötigt ein Hacker mit einem einfachen Wörterbuchprogramm nicht mehr als eine Sekunde, um Passwörter wie „qwertz“ oder „123456“ zu knacken.
Zudem braucht das System nicht übermäßig sicher gemacht zu werden, wenn Internetnutzer vorhersehbare Komplexitätsanforderungen einhalten. Ein Passwort, das mit einem Großbuchstaben beginnt und mit einer Zahl endet, bietet keinen besseren Schutz als eine tatsächlich zufällige Zeichenfolge. Ein Beispiel: „Abc123“ ist kaum sicherer als „abcde“.
Die Wiederverwendung desselben Passworts auf mehreren Plattformen ist ein weiterer verbreiteter Fehler. Warum einen potenziell sicheren Hash generieren, wenn es vollkommen ausreicht, um sich mit einem bereits im Darknet kompromittierten Passwort anzumelden? Solche Passwörter werden nach einer Leckage massenhaft getestet, und das nennt man Credential Stuffing; und es ist ein sehr effektiver Angriff.

Manchmal sind es nicht die Nutzer, die das Problem verursachen; oft sind es die Plattformen selbst, die unsicher arbeiten. Einige speichern Passwörter immer noch im Klartext oder nutzen veraltete Algorithmen. Andere wenden keine sicheren Hash-Methoden an, etwa die fehlende Verwendung von Salzen. Ein Salz fügt vor dem Hashing zufällige Daten hinzu, um jeden Abdruck einzigartig zu machen und sollte immer verwendet werden.
Manchmal sind die Probleme subtiler. Eine mangelhafte Sitzungskontrolle kann die Effizienz des Hashing-Prozesses beeinträchtigen. Sensible Daten finden sich gelegentlich in Systemprotokollen wieder, oder unsichere Konfigurationen lassen vertrauliche Informationen entweichen.
Insgesamt mangelt es nicht an Technologie, sondern eher an der Handhabung. Hacker wissen, dass es nahezu unmöglich ist, ein starkes Bcrypt-Passwort mit 12 Zeichen zu knacken. Aber die Wiederherstellung eines einfachen Passwortes, das auf einer unsicheren Plattform verwendet wird, ist weitaus einfacher.
Und was ist mit Quantencomputern in der Zukunft?
Während moderne Hash-Algorithmen heute einen soliden Schutz bieten, könnte die Einführung von Quantencomputern die Lage verändern. Algorithmen wie Grovers könnten die Zeit für das Knacken eines Hashes durch brute force halbieren. Was heute Jahre dauern könnte, könnte mit einem ausreichend leistungsstarken Quantencomputer in wenigen Monaten, sogar in Wochen, erledigt sein.
Doch Panik ist nicht angebracht: Lösungen, die für die Zeit nach Quantencomputern geeignet sind, sind bereits in der Entwicklung. Forschungsteams und Institutionen wie das NIST arbeiten aktiv an der Standardisierung neuer Algorithmen, die den quantenmechanischen Berechnungen standhalten. Parallel dazu werden hybride Ansätze entwickelt, die konventionelle und quantensichere Techniken kombinieren, um den Übergang zu widerstandsfähigeren Sicherheitssystemen zu erleichtern.
In der Zwischenzeit bleibt der beste Schutz die sorgfältige Verwaltung Ihrer Passwörter: Verwenden Sie lange, komplexe und einzigartige Kombinationen, idealerweise von vertrauenswürdigen Passwortmanagern generiert, und setzen Sie Algorithmen wie Bcrypt, Scrypt oder Argon2 mit hochsicheren Parametern ein. Diese Vorkehrungen sollten für die kommenden Jahre ausreichend sein.