Wie werden Passwörter gespeichert?

Vorab halten wir einmal fest, dass niemals ein Passwort direkt irgendwo gespeichert werden sollte. Darauf hat man als Anwender dummerweise keinen direkten Einfluss, es sollten aber bei dir alle Alarmglocken klingeln wenn dir irgendein Dienst dein Passwort erneut zuschicken kann. Wenn das Passwort nämlich im Klartext gespeichert wird, kann es von Mitarbeitern des Dienstes (oder im Falle eines Datenlecks von Jedem) ebenfalls gelesen werden. Und wenn dann z.B. Nordbord deine Daten im Klartext speichern würde, könnte sich ein Nordbord-Mitarbeiter einfach mal die hinterlegten Emails und Passwörter anschauen und z.B. bei Twitter und Facebook ausprobieren.

Gespeichert wird also anders und zwar mit einer so genannten Hash-Funktion. Dabei handelt es sich um eine Gruppe mathematischer Funktionen, die für beliebige Eingaben möglichst einzigartige Zahlen berechnet. Die gleiche Eingabe führt dabei immer zu der gleichen Zahl, man kann von der Zahl aber nie auf die Eingabe schließen. Man spricht auch von "Einweg-Funktionen". Um das Prinzip zu verdeutlichen schauen wir uns mal eine völlig ungeeignete Hash-Funktion an. Sie bildet die folgenden Passwörter wie folgt auf Zahlen ab:

• NordBord = 8
• NordBoard = 9
• Nord = 4
• Bord = 4
• Board = 5

Mit ein bisschen nachdenken sieht man ganz gut, dass diese (ungeeignete!) Hash-Funktion einfach die Länge des Passwortes nimmt. Gespeichert werden würde also die Zahl, der so genannte Hash-Wert, auf der rechten Seite der obigen Beispiele. Und wenn ein Benutzer sein Passwort eingibt, wendet man auf diese Eingabe einfach auch die Hash-Funktion an und vergleicht dann die Hash-Werte. Im Fälle der Längen-Funktion werden damit natürlich ganz viele unterschiedliche Passwörter als identisch eingestuft: Immer wenn zwei Benutzer ein Passwort gleicher Länge haben, könnten Sie sich mit "Ihrem" Passwort als der jeweils andere Benutzer anmelden. Echte Hash-Funktionen sind daher natürlich ein bisschen komplizierter, aber damit beschäftigen wir uns ein anderes Mal.