Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zu Hash, HMAC, Pepper und Salt

Mitglied: nicuhu

nicuhu (Level 1) - Jetzt verbinden

25.03.2019, aktualisiert 14:12 Uhr, 461 Aufrufe, 5 Kommentare

Hallo

Ich möchte gerne mehr zum Thema Pepper / HMAC / Kryptographie kennen lernen und habe da 1,2,3 Fragen.

Folgendes Bild habe ich gefunden jedoch habe ich trotzdem noch einige offene Fragen dazu. Leider sagt das Bild nich sehr viel aus zu Pepper.

https://www.internet-sicherheit.de/fileadmin/_processed_/8/c/csm_infogra ...

1.) Kann Pepper nur in kombination mit Salt verwendet werden?

2.) Verstehe ich das also richtig: Ich als Client melde mich bei einer Website an, mein Client schickt das Passwort "Password" an den Server der Website, dort wird Salt und Pepper eingesetzt. Es wird durch Salt aus meinem Passwort "PasswordABC" ABC = Salt-Wert. Danach bin ich mir nicht sicher wie Pepper nun ins spielt kommt. Ich hoffe ihr könnt ihr den Vorgang etwas näher erklären.

3.) Weiter erklärt die verlinkte Seite man könne einen HMAC für die Sicherheit der Integrität und Authenzität einsetzten welches nochmals die Sicherheit weiter erhöht. Wie funktioniert HMAC in kombination mit Salt, Pepper und Hash? So wie ich das verstehe gibts HMAC für Hashfunktionen und auch noch anderes (H)MAC für andere Einsatzszenarios.


Vielen Dank im voraus für die Antworten


Gruss
Nicolas
Mitglied: borstenwurm
25.03.2019, aktualisiert um 14:24 Uhr
Hi.

Kann Pepper nur in kombination mit Salt verwendet werden?

Pepper kann problemlos auch ohne Salt verwendet werden, dadurch entfernst du aber auch wiederum eine ziemlich dicke Sicherheitsschicht. Der grobe Unterschied ist, dass Pepper NICHT in der Datenbank gespeichert wird, sondern separat. Dadurch können im Falle eines Hacks der Datenbank die Kennwörter trotzdem nicht entschlüsselt werden.

Die von dir verlinkte Infografik ist schön gemacht, erklärt aber nicht wirklich gut für Neulinge. Wenn du bereits Hintergrundwissen hast, sind die Wikipedia Artikel zu Kryptographie lesenswert. Heise hat auch immer mal wieder gute Artikel zu den Themen.

Vielleicht hilft dir dieser vereinfachte Ablauf:
  • Benutzer registriert sich und vergibt ein Passwort.
  • Dem Benutzer wird ein zufällig generierter Salt zugewiesen und in der Datenbank gespeichert.
  • Pepper (nicht einzigartig pro Benutzer) wird aus einer Datei gelesen.
  • Man generiert den Hash aus Passwort+Salt+Pepper und speichert den ebenfalls in der Datenbank.
  • Das eigentliche Passwort wird aus dem Speicher entfernt.
Wenn sich jetzt der Benutzer anmeldet, muss das eigentliche Passwort überhaupt nicht mehr bekannt sein, da man jetzt einfach den Hash des eingegebenen Passworts+Salt+Pepper generiert und mit dem Wert in der DB abgleicht.

Bei HMAC geht's meines Wissens nur um die Übertragung der Daten, aber da bin ich kein Experte.
Bitte warten ..
Mitglied: nicuhu
25.03.2019 um 14:48 Uhr
Zitat von borstenwurm:

Hi.

Kann Pepper nur in kombination mit Salt verwendet werden?

Pepper kann problemlos auch ohne Salt verwendet werden, dadurch entfernst du aber auch wiederum eine ziemlich dicke Sicherheitsschicht. Der grobe Unterschied ist, dass Pepper NICHT in der Datenbank gespeichert wird, sondern separat. Dadurch können im Falle eines Hacks der Datenbank die Kennwörter trotzdem nicht entschlüsselt werden.

Die von dir verlinkte Infografik ist schön gemacht, erklärt aber nicht wirklich gut für Neulinge. Wenn du bereits Hintergrundwissen hast, sind die Wikipedia Artikel zu Kryptographie lesenswert. Heise hat auch immer mal wieder gute Artikel zu den Themen.

Vielleicht hilft dir dieser vereinfachte Ablauf:
  • Benutzer registriert sich und vergibt ein Passwort.
  • Dem Benutzer wird ein zufällig generierter Salt zugewiesen und in der Datenbank gespeichert.
  • Pepper (nicht einzigartig pro Benutzer) wird aus einer Datei gelesen.
  • Man generiert den Hash aus Passwort+Salt+Pepper und speichert den ebenfalls in der Datenbank.
  • Das eigentliche Passwort wird aus dem Speicher entfernt.
Wenn sich jetzt der Benutzer anmeldet, muss das eigentliche Passwort überhaupt nicht mehr bekannt sein, da man jetzt einfach den Hash des eingegebenen Passworts+Salt+Pepper generiert und mit dem Wert in der DB abgleicht.

Bei HMAC geht's meines Wissens nur um die Übertragung der Daten, aber da bin ich kein Experte.

Also der Server speichert das vom Benutzer als Passwort eingegebene mit einem definierten Salt ab holt den Pepper Schlüssel / von einem 2. Server und Hasht alle 3 Werte und speichert diese ab?
Bitte warten ..
Mitglied: borstenwurm
25.03.2019 um 14:59 Uhr
Zitat von nicuhu:
Also der Server speichert das vom Benutzer als Passwort eingegebene mit einem definierten Salt ab holt den Pepper Schlüssel / von einem 2. Server und Hasht alle 3 Werte und speichert diese ab?

Das Passwort wird normalerweise gar nicht gespeichert, sonder verbleibt für die Dauer des Rechenvorgangs im RAM. Der Trick ist, aus drei verschiedenen Zeichenfolgen, die auch aus verschiedenen Quellen kommen, einen Hash zu generieren. Der "Pepper"-Teil davon kann auf einem anderen Server liegen oder auch in irgendeiner Datei versteckt.
Bitte warten ..
Mitglied: nicuhu
25.03.2019 um 15:59 Uhr
Zitat von borstenwurm:

Zitat von nicuhu:
Also der Server speichert das vom Benutzer als Passwort eingegebene mit einem definierten Salt ab holt den Pepper Schlüssel / von einem 2. Server und Hasht alle 3 Werte und speichert diese ab?

Das Passwort wird normalerweise gar nicht gespeichert, sonder verbleibt für die Dauer des Rechenvorgangs im RAM. Der Trick ist, aus drei verschiedenen Zeichenfolgen, die auch aus verschiedenen Quellen kommen, einen Hash zu generieren. Der "Pepper"-Teil davon kann auf einem anderen Server liegen oder auch in irgendeiner Datei versteckt.

Ich danke dir erstmals für deine Antwort.

Sollte sich jemand noch näher mit HMAC / MAC auskennen mit kombination von Hash, Salt und Pepper würde ich mich freuen noch einige Infos dazu zu bekommen wie das genau funktioniert.
Bitte warten ..
Mitglied: nicuhu
01.04.2019 um 16:39 Uhr
Jemand der mir da mehr Auskunft geben kann?
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

AES Verschlüsselung - Sicheres Speichern des SALT Wertes

gelöst Frage von mertaufmbergVerschlüsselung & Zertifikate11 Kommentare

Hallo Zusammen, ich habe mir einen TCP/Ip Server/Client programmiert. Ich verschlüssle den zu übertragenden String mit AES 265 bit. ...

Sicherheits-Tools

Hash-Wert fest in Audiodatei schreiben

gelöst Frage von Hamoe2Sicherheits-Tools4 Kommentare

Hallo, ich habe lange gesucht, jedoch nichts gefunden. Vielleicht weiß ja hier jemand Rat. Bin auf der Suche nach ...

Verschlüsselung & Zertifikate

NT-Password (NT Hash) unter Windows generieren

gelöst Frage von PedantVerschlüsselung & Zertifikate7 Kommentare

Hallo, es muss doch irgendwie möglich sein ein NT-Password (einen NT-Hash) unter Windows zu erzeugen!? Es ist doch ein ...

Ubuntu

Alle Strings vor "-" durch Hash-Wert (SHA1) zu ersetzen

gelöst Frage von takitanoUbuntu11 Kommentare

Hallo an alle, ich habe folgendes Problem: Eine txt-Datei sieht so aus: Wie kann man alle Wörter in allen ...

Neue Wissensbeiträge
E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 11 StundenE-Mail7 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 23 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 2 TagenWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Heiß diskutierte Inhalte
DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS23 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server17 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...