Website-Betreiber sollten Passwörter ihrer Nutzer unknackbar speichern
- Pressemitteilung der Firma PSW GROUP GmbH & Co. KG, 18.08.2011
Pressemitteilung vom: 18.08.2011 von der Firma PSW GROUP GmbH & Co. KG aus Fulda
Kurzfassung: Fulda – Passwörter gelten zwar nicht als sicherste Authentifizierungsmethode, haben sich aber als solche dank der einfachen Handhabung gegen andere Verfahren durchgesetzt und sich im Internet etabliert. Da aber nahezu alle in der Praxis ...
[PSW GROUP GmbH & Co. KG - 18.08.2011] Website-Betreiber sollten Passwörter ihrer Nutzer unknackbar speichern
Fulda – Passwörter gelten zwar nicht als sicherste Authentifizierungsmethode, haben sich aber als solche dank der einfachen Handhabung gegen andere Verfahren durchgesetzt und sich im Internet etabliert. Da aber nahezu alle in der Praxis eingesetzten Passwörter knackbar und von Kriminellen heiß begehrt sind, sollten sie von Website-Betreibern besonders gesichert werden. Das mahnen die Internet Security-Spezialisten der PSW GROUP an.
Da schon eine Kombination aus Buchstaben, Ziffern und Sonderzeichen sowie Groß- und Kleinschreibung die Sicherheit von Passwörtern erhöht, sollten Website-Betreiber die Passwortwahl nicht komplett ihren Nutzern überlassen. 'Sie sollten grundsätzlich nur Passwörter zulassen, bei denen Zeichen aus allen drei Zeichengruppen verwendet werden. Anhand einer Farbskala können sie dem Nutzer bei der Festlegung seines Passwortes beispielsweise visualisieren, wie sicher das von ihm gewählte Passwort ist', verweist Christian Heutger, Geschäftsführer der PSW GROUP GmbH
Co. KG (www.psw.net) auf eine bewährte Maßnahme, die zugleich das Sicherheitsbewusstsein des Nutzers schärft.
Denn Studien offenbaren: Der Otto-Normal-Nutzer verwendet am häufigsten die Zeichenketten 'password1', 'password' und '123456' als Passwörter. Auch Namen von Popstars und Sportler sind beliebt. Derartige Passwörter sind für den Nutzer zwar leicht einprägsam, Angreifer können diese aber durch simples 'Durchprobieren' (Brute Force) mindestens ebenso leicht erraten. Im Schnitt brauchen sie dafür nur eine Sekunde. Es sei denn der Webseite-Betreiber ergreift weitere Sicherheitsmaßnahmen.
Etabliert sind hier kryptografische Hash-Funktionen wie der Message-Digest Algorithm 5 (MD5). Damit werden Passwörter nicht mehr im Klartext in den Datenbanken eines Web-Angebots gespeichert, sondern zuvor in einen 128-Bit-Hashwert umgewandelt. Dabei handelt es sich um eine Zeichenkette, die keine Rückschlüsse auf das 'gehashte' Passwort mehr zulässt. Jedes Mal, wenn der Nutzer sich mit seinem Passwort auf der Website authentifiziert, wird das von ihm eingegebene Passwort in einen Hashwert umgewandelt und dieser mit dem in der Datenbank hinterlegten Hashwert des gültigen Passwortes verglichen. Stimmt er überein, ist die Authentifizierung erfolgreich. Ist der Hashwert hingegen nicht identisch, schlägt die Authentifizierung fehl und dem Nutzer wird angezeigt, dass er ein falsches Passwort angegeben hat.
Weitere Passwortsicherheit bringt das so genannte Salzen ('Salt'). Dabei wird vor dem Hashen eine zufällig generierte Zeichenfolge an den Klartext des Passwortes angefügt und dessen Länge somit vergrößert. Durch das 'Salzen' wird die Anzahl der Kombinationen für jedes einzelne mögliche Passwort stark aufgebläht. Es empfiehlt sich für Website-Betreiber außerdem, zusätzlich den Hash-Vorgang bei einem gesalzenen Passwort mehrfach ausführen. Der Angreifer wird durch dieses so genannte 'Stretching' beim Cracken von Passwörtern deutlich ausgebremst. Es dauert im Resultat um ein Vielfaches länger und das wiederum macht etablierte Angriffsmethoden für den Angreifer unwirtschaftlich. Die Nutzungsperformance der Website beeinträchtigt das Verfahren nicht.
Website-Betreiber, die Content-Management-Systeme (CMS) wie Typo3, Wordpress oder Joomla verwenden, sollten sich auf den Service-Seiten der CMS-Anbieter darüber informieren, wie sie Hashing-, Salt- und Stretching-Funktionalitäten nutzen können. Für viele Systeme stehen diesbezüglich Zusatzfeatures und –module zur Verfügung.
Weitere Informationen unter www.psw.net
Über die PSW GROUP
Die PSW GROUP mit Sitz in Fulda ist einer der deutschlandweit führenden Full Service-Provider für Internetlösungen mit einem besonderen Schwerpunkt auf Internet Security. Als solcher bietet das Unternehmen – sowohl für den Web-Einsatz als auch für die E-Mail-Kommunikation – Zertifikats-, Signatur-, Verschlüsselungs- und Authentifizierungslösungen an. Das umfassende Produktportfolio reicht speziell in diesem Bereich von SSL-Zertifikaten über Code-Signing-Zertifikate bis hin zu qualifizierten elektronische Signaturen.
Aber auch Sicherheitslösungen wie das PCI-Scanning, Secure CDN und DNSSEC sowie Gütesiegel und Kundenbewertungssysteme speziell für E-Commerce-Anbieter finden sich im Repertoire der PSW GROUP. Neben der großen Produkt-Vielfalt verfügt das im Jahr 2000 gegründete Unternehmen über eine fast 11-jährige Expertise in den Bereichen Internet-Sicherheit, IT-Recht sowie Hosting- und Domaindienstleistungen.
Zu den Kunden der PSW GROUP zählen Webhoster sowie Webdesign- und Marketing-Agenturen, die als Reseller auf die Sicherheitslösungen des Full Service-Providers zurückgreifen, aber auch Betreiber von E-Commerce-Angeboten sowie Online-Shops.
Fulda – Passwörter gelten zwar nicht als sicherste Authentifizierungsmethode, haben sich aber als solche dank der einfachen Handhabung gegen andere Verfahren durchgesetzt und sich im Internet etabliert. Da aber nahezu alle in der Praxis eingesetzten Passwörter knackbar und von Kriminellen heiß begehrt sind, sollten sie von Website-Betreibern besonders gesichert werden. Das mahnen die Internet Security-Spezialisten der PSW GROUP an.
Da schon eine Kombination aus Buchstaben, Ziffern und Sonderzeichen sowie Groß- und Kleinschreibung die Sicherheit von Passwörtern erhöht, sollten Website-Betreiber die Passwortwahl nicht komplett ihren Nutzern überlassen. 'Sie sollten grundsätzlich nur Passwörter zulassen, bei denen Zeichen aus allen drei Zeichengruppen verwendet werden. Anhand einer Farbskala können sie dem Nutzer bei der Festlegung seines Passwortes beispielsweise visualisieren, wie sicher das von ihm gewählte Passwort ist', verweist Christian Heutger, Geschäftsführer der PSW GROUP GmbH
Co. KG (www.psw.net) auf eine bewährte Maßnahme, die zugleich das Sicherheitsbewusstsein des Nutzers schärft.
Denn Studien offenbaren: Der Otto-Normal-Nutzer verwendet am häufigsten die Zeichenketten 'password1', 'password' und '123456' als Passwörter. Auch Namen von Popstars und Sportler sind beliebt. Derartige Passwörter sind für den Nutzer zwar leicht einprägsam, Angreifer können diese aber durch simples 'Durchprobieren' (Brute Force) mindestens ebenso leicht erraten. Im Schnitt brauchen sie dafür nur eine Sekunde. Es sei denn der Webseite-Betreiber ergreift weitere Sicherheitsmaßnahmen.
Etabliert sind hier kryptografische Hash-Funktionen wie der Message-Digest Algorithm 5 (MD5). Damit werden Passwörter nicht mehr im Klartext in den Datenbanken eines Web-Angebots gespeichert, sondern zuvor in einen 128-Bit-Hashwert umgewandelt. Dabei handelt es sich um eine Zeichenkette, die keine Rückschlüsse auf das 'gehashte' Passwort mehr zulässt. Jedes Mal, wenn der Nutzer sich mit seinem Passwort auf der Website authentifiziert, wird das von ihm eingegebene Passwort in einen Hashwert umgewandelt und dieser mit dem in der Datenbank hinterlegten Hashwert des gültigen Passwortes verglichen. Stimmt er überein, ist die Authentifizierung erfolgreich. Ist der Hashwert hingegen nicht identisch, schlägt die Authentifizierung fehl und dem Nutzer wird angezeigt, dass er ein falsches Passwort angegeben hat.
Weitere Passwortsicherheit bringt das so genannte Salzen ('Salt'). Dabei wird vor dem Hashen eine zufällig generierte Zeichenfolge an den Klartext des Passwortes angefügt und dessen Länge somit vergrößert. Durch das 'Salzen' wird die Anzahl der Kombinationen für jedes einzelne mögliche Passwort stark aufgebläht. Es empfiehlt sich für Website-Betreiber außerdem, zusätzlich den Hash-Vorgang bei einem gesalzenen Passwort mehrfach ausführen. Der Angreifer wird durch dieses so genannte 'Stretching' beim Cracken von Passwörtern deutlich ausgebremst. Es dauert im Resultat um ein Vielfaches länger und das wiederum macht etablierte Angriffsmethoden für den Angreifer unwirtschaftlich. Die Nutzungsperformance der Website beeinträchtigt das Verfahren nicht.
Website-Betreiber, die Content-Management-Systeme (CMS) wie Typo3, Wordpress oder Joomla verwenden, sollten sich auf den Service-Seiten der CMS-Anbieter darüber informieren, wie sie Hashing-, Salt- und Stretching-Funktionalitäten nutzen können. Für viele Systeme stehen diesbezüglich Zusatzfeatures und –module zur Verfügung.
Weitere Informationen unter www.psw.net
Über die PSW GROUP
Die PSW GROUP mit Sitz in Fulda ist einer der deutschlandweit führenden Full Service-Provider für Internetlösungen mit einem besonderen Schwerpunkt auf Internet Security. Als solcher bietet das Unternehmen – sowohl für den Web-Einsatz als auch für die E-Mail-Kommunikation – Zertifikats-, Signatur-, Verschlüsselungs- und Authentifizierungslösungen an. Das umfassende Produktportfolio reicht speziell in diesem Bereich von SSL-Zertifikaten über Code-Signing-Zertifikate bis hin zu qualifizierten elektronische Signaturen.
Aber auch Sicherheitslösungen wie das PCI-Scanning, Secure CDN und DNSSEC sowie Gütesiegel und Kundenbewertungssysteme speziell für E-Commerce-Anbieter finden sich im Repertoire der PSW GROUP. Neben der großen Produkt-Vielfalt verfügt das im Jahr 2000 gegründete Unternehmen über eine fast 11-jährige Expertise in den Bereichen Internet-Sicherheit, IT-Recht sowie Hosting- und Domaindienstleistungen.
Zu den Kunden der PSW GROUP zählen Webhoster sowie Webdesign- und Marketing-Agenturen, die als Reseller auf die Sicherheitslösungen des Full Service-Providers zurückgreifen, aber auch Betreiber von E-Commerce-Angeboten sowie Online-Shops.
Über PSW GROUP GmbH & Co. KG:
Weitere Informationen finden sich auf unserer Homepage
Firmenkontakt:
PSW GROUP GmbH & Co. KG
Flemingstraße 20-22
D-36041 Fulda
PresseDesk
Tel.: 030 / 2009 513 – 0
E-Mail: psw-group@pressedesk.de
Weitere Informationen finden sich auf unserer Homepage
Firmenkontakt:
PSW GROUP GmbH & Co. KG
Flemingstraße 20-22
D-36041 Fulda
PresseDesk
Tel.: 030 / 2009 513 – 0
E-Mail: psw-group@pressedesk.de
Die Pressemeldung "Website-Betreiber sollten Passwörter ihrer Nutzer unknackbar speichern" unterliegt dem Urheberrecht der pressrelations GmbH. Jegliche Verwendung dieses Textes, auch auszugsweise, erfordert die vorherige schriftliche Erlaubnis des Autors. Autor der Pressemeldung "Website-Betreiber sollten Passwörter ihrer Nutzer unknackbar speichern" ist PSW GROUP GmbH & Co. KG.