[lug-ld] Indirekte Passwort-Speicherung
Pahle Heinz
heinz.pahle at gmx.de
Mi Aug 7 16:13:50 CEST 2019
Liebe LUGer, hier Spezialisten für Passwortspeicherung gefragt!
Dass Passworte nicht im Klartext in einem Rechner zu finden sind -
einleuchtend. Bisher war mir bekannt - hashen/speichern. Die dann vom
Bediener geforderte Eingabe hashen und vergleichen.
Mir ist klar, dass ein "Einbrecher" diese hashes durchaus stehlen und daheim
zeitlich unbegrenzt herumspielen kann.
Im Umfeld aus Passworten Schlüssel erzeugen, stieß ich auf eine
erschreckende Aussage (SHA256 u. a. ungeeignet), wobei ich doch an hohe
Sicherheit bei SHA256 glaubte.
Man liest:
"So I tried to analyse and summarise the most recent and reasonable choices:
Scrypt, Bcrypt and Argon2. .and yes, MD5, SHA1, SHA256 are not suitable for
storing passwords!"
https://medium.com/@mpreziuso/password-hashing-pbkdf2-scrypt-bcrypt-and-argon2-e25aaf41598e
Anscheinend benötigen MD5 bis SHA256 zu wenig Ressourcen (zum Knacken?) und
sind deswegen nicht mehr geeignet, wenn ich recht verstehe. Oder ist das
Angstmache und gilt erst in 10 Jahren?
Wie wird denn PW-Speicherung in Unternehmensrechnern gelöst?
Gruß
Heinz Pahle