bcrypt: unverschlüsselte und schwache Passwörter sicher hashen - so funktioniert die Website-Verschlüsselungsmethode

Webentwicklung: Verschlüsselungsverfahren für Passwörter

Verschlüsselung - Encryption - Geheim - Schutz - Sicherheit - Privatspähre - Privacy

Aus dem Original-Passwort mit einer mathematischen Funktion Schlüssel ableiten, um eine sichere Authentifizierung und Passwortspeicherung beim Zugang zu gewährleisten

Begriff und Bedeutung von Hash-Funktionen

Bei der Authentifizierung eines Nutzers für eine Website werden in der Regel die Angabe eines Benutzernamens bzw. einer E-Mail-Adresse und ein Passwort verlangt.

Wenn Benutzername und Passwörter unverschlüsselt beim Website-Betreiber abgespeichert werden und unerwünscht in die Hände Dritter gelangen, ist das Sicherheitsrisiko für alle Beteiligten groß.

Mittels kryptographischer Hashfunktionen bzw. Passwort-Hashing-Verfahren wie scrypt, bcrypt oder auch PBKDF2 und Puffer Fish kann dieses Zugangs-Berechtigungsproblem in der Regel gelöst oder zumindest optimiert werden.

So funktioniert bcrypt

bcrypt
ist eine verschlüsselte Hashfunktion, die von Niels Provos und David Mazières entwickelt und 1999 erstmalig vorgestellt wurde. Sie erleichtert das Hashen bzw. Verschlüsseln und Speichern von Passwörtern.

Das Besondere: Im Gegensatz zu einfachen und damit auch schnelleren Hash-Methoden wie MD5 und SHA-X erzeugt bcrypt mit jedem Vorgang einen anderen Hash-Code und verlangsamt so den Vorgang.

bcrypt hat allerdings keinen eigenen mathematischen Algorithmus, sondern nutzt die Blockverschlüsselung von Blowfish.

Aus Original-Passwörtern werden mit einer mathematischen Funktion Schlüssel abgeleitet. Dabei wird ein sogenannter Hashwert des Passwortes ermittelt und in einer Datenbank abgespeichert.

Das ursprüngliche Passwort kann so nicht mehr wiederhergestellt werden, da statt eines Klartextes nur noch ein verschlüsselter Code übrig bleibt und angezeigt wird.