Was passiert, wenn Passwörter falsch gespeichert werden. Das müssen Sie wissen
Unsichere Passwörter, veraltete Hashverfahren, fehlendes Salt und die fatale Abwesenheit eines geheimen Pepper-Werts – all das sind Zutaten, aus denen Datenpannen gekocht werden. Wenn man es böse ausdrücken will: Es gibt Entwickler, die speichern Passwörter so sorglos wie ein Schüler seinen Spickzettel auf dem Tisch liegen lässt. Dabei wäre es gar nicht so schwer, sich professionell abzusichern.
Stellen Sie sich vor, ein Entwickler speichert alle Nutzerpasswörter im Klartext in einer Datenbank. Das klingt für die meisten auf den ersten Blick absurd, kommt aber noch immer vor, in Webshops, bei Portalen und sogar in manchen Business-Anwendungen. Wird diese Datenbank kompromittiert, etwa durch SQL-Injection oder durch einen fehlkonfigurierten Cloud-Zugriff, hat der Angreifer sofort Zugriff auf alle Passwörter. Ohne Umweg. Ohne Aufwand.
Aber auch Hashes können unsicher sein, wenn sie falsch verwendet werden. Ein einfaches Beispiel: Mehrere Nutzer verwenden dasselbe Passwort. Wenn der Hash-Algorithmus keine zufälligen Salt-Werte nutzt, ergibt jedes Mal derselbe Input denselben Output. Der Angreifer erkennt also sofort, welche Nutzer dasselbe Passwort benutzen.