ComputerBase Menü
Aktuelles

Hash-Funktion und Speicherung von Passwörtern im Klartext

S

shortrange

Banned
Registriert
Okt. 2013
Beiträge
626
Hallo zusammen,

für fast alle Dienste und Konten im Internet braucht man einen Benutzernamen und ein Passwort.

Um mich in meinem Konto anmelden zu können, muss der Server des Dienstes mich irgendwie authentifizieren. Das geschieht durch das Passwort.

Angenommen ich erstelle mir einen Account bei Wikipedia und denke mir dafür einen Benutzernamen und ein Passwort aus. Wenn ich das Passwort bei der Accounterstellung eingebe und auf „Account erstellen“ (oder so ähnlich) klicke, wird das Passwort dann im Klartext zu Wikipedia geschickt und dort erst gehasht?

Oder wird es vor dem Abschicken durch meinen Computer/Browser gehasht?
Kennt der Wikipedia-Server zu irgendeinem Zeitpunkt mein Passwort im Klartext?

Vielen Dank für Eure Erklärungen
 
Zuletzt bearbeitet:
meine glaskugel ist heute leider in der reperatur.

internet und sicherheit? glaubst du im ernst du kannst deine passwörter wirklich geheim halten ?
 
In der Regel werden Kennwörter beim Speichern in der Datenbank serverseitig gehashed. Das Passwort ist also theoretisch von Wikipedia erstmal lesbar.

@gabbercopter: Warum der blöde Kommentar? Er hat zwei eindeutige Fragen gestellt.
 
gabbercopter schrieb:
meine glaskugel ist heute leider in der reperatur.

internet und sicherheit? glaubst du im ernst du kannst deine passwörter wirklich geheim halten ?
Zum Vergrößern anklicken....

... also das war wirklich die dümmste aller Antworten ...:freak: (zumal es Reparatur heißt)

Wikipedia benutzt das https-Protokoll, also wird dein Passwort verschlüsselt übertragen.

Die Speicherung in der Wikipedia eigenen Datenbank wird vermutlich/hoffentlich gehasht und salted sein. Das passiert allerdings serverseitig.
 
es besteht doch meistens eine ssl verbidung.. die ist verschlüsselt.. und passwörter werden auch nicht mehr einfach nur gehasht ;)
 
Hi,

in der Regel passiert das so. Die Daten sollten per https, also verschlüsselt zum Server übertragen werden. Dort wird dann der Hash erstellt und geprüft.

Kennt der Wikipedia-Server zu irgendeinem Zeitpunkt mein Passwort im Klartext?
Zum Vergrößern anklicken....

Es würde nichts nützen, wenn du auf deiner Seite den Hash erstellst und dann an den Server schickst. Der Server reagiert nur auf das, was er von dir bekommt. Würdest du schon vorab Hashen wäre es das Gleiche, wie wenn du das Passwort schickst. Jeder, der den gesendeten Hash mitliest kann sich mit genau diesem Hash auch anmelden, du hättest nichts gewonnen. Einmalig musst du dem Server vertrauen, da führt kein Weg dran vorbei. Genau dafür gibt es Zertifikate und https.

VG,
Mad
 
Madman1209 schrieb:
Hi,
Es würde nichts nützen, wenn du auf deiner Seite den Hash erstellst und dann an den Server schickst. Der Server reagiert nur auf das, was er von dir bekommt. Würdest du schon vorab Hashen wäre es das Gleiche, wie wenn du das Passwort schickst. Jeder, der den gesendeten Hash mitliest kann sich mit genau diesem Hash auch anmelden, du hättest nichts gewonnen. Einmalig musst du dem Server vertrauen, da führt kein Weg dran vorbei. Genau dafür gibt es Zertifikate und https.
Zum Vergrößern anklicken....

Sehr einleuchtend, daran hatte ich gar nicht gedacht.

Wikipedia war hier auch nur ein Beispiel. Natürlich ist mir bewusst, dass SSL-Verschlüsselung verwendet wird.


Der Ursprung der Frage ist ein anderer:

Ich habe bei einem deutschen Webhoster mehrere Domains gemietet. Dort kann man auch IMAP-Postfächer erstellen.
Letztens hatte ich ein Passwort für ein IMAP-Konto vergessen und habe festgestellt, dass man es über die Administrationsoberfläche über einen Klick auf "Passwort zeigen" einfach einsehen kann.

Dies spricht ja dafür, dass das Passwort dauerhaft auf den Servern des Webhosters im Klartext gespeichert sein muss, oder?
Schließlich können sie das als Hash gespeicherte Passwort nicht einfach "enthashen" (ist ja der Sinn dahinter).
 
Zuletzt bearbeitet:
Dies spricht ja dafür, dass das Passwort dauerhaft auf den Servern des Webhosters im Klartext gespeichert sein muss, oder?
Zum Vergrößern anklicken....
Die Passwörter können auch verschlüsselt abgelegt sein. Allerdings spricht diese Art der Passwortverwaltung nicht unbedingt für den Hoster. Eventuell haben sie beim verwendeten Mailserver aber auch einfach keine andere Wahl, weil der ja die Authentifizierung durchführt und ggf. nicht mit "modernen" Methoden der Passwortverwaltung umgehen kann... ist natürlich in der heutigen Zeit auch keine Ausrede.

Solange du allerdings deine E-Mails nicht Ende-zu-Ende verschlüsselst, kann die eh jeder lesen, der irgendwie an den Mailserver herankommt.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz