Hashwerte und Accountsicherheit

Eine Hashfunktion berechnet aus einer beliebigen Zeichenkette eine 128 bit lange Zahl, die meistens in Hexadezimalschreibweise dargestellt wird.

Diese Berechnung geht fix, aber um aus einem Hashwert die eigentliche Zeichenkette zurückzuberechnen bräuchte mein Computer länger als 1 Jahr, das lohnt sich also nicht.

Online-Sicherheit mit Passwörtern geht jetzt folgendermaßen: Die Datenbank speichert zu jedem Benutzernamen nur den Hashwert des Passwortes und nicht das Passwort selber, wenn Hacker an die Daten kommen bringt ihnen das erst mal nichts. Bei jeder Passworteingabe wird erst der Hashwert des Passwortes berechnet und dann mit dem gespeicherten Hashwert verglichen: Wenn die Werte gleich snd ist das Passwort korrekt.

Wenn ich jetzt von dir den Hashwert des Passwortes bekomme, kann ich ihn direkt in die Datenbank eintragen: Ich kenne das Passwort nicht, werde mich nicht mit deinem Account einloggen können, aber du kannst das mit deinem Passwort!

Typischer ANGRIFF gegen eine Passwort-Hash-Datenbank und warum schlechte Passwörter schlecht sind:
Ich berechne den Hashwert von "Apfel" und schaue nach, ob er zufällig mit einem gehashten Passwort übereinstimmt. Sehr unwahrscheinlich. Aber wenn ich alle Wörter des Duden hashe und mit allen gespeicherten Passwort-Hashes vergleiche werde ich Treffer haben. Diese Passwörter kenne ich dann als Hacker.

Wenn du bis hier gelesen hast und mir irgendwann den MD5-Hash von "Gib mir ein Bier!" zeigst, bekommst du eines!