Best Practice Verschlüsselung mit SALT

IWantToBelieve · 24. Feb 2015

Ich hab kein passendes Unterforum gefunden, daher packe ich meine Frage jetzt hier einfach mal rein.

Ich habe ein Webanwendung, bei der sich ein Benutzer mit seinem eigenen Passwort anmelden kann. Das Passwort habe ich in der DB per SHA2 verschlüsselt abgelegt. Jetzt würde ich gerne das Passwort mit einem SALT-Parameter sicherer machen. In allen Anleitungen dazu lese ich, dass man einfach eine "salt"-Spalte an die USER-Tabelle anhängen soll und dort zu jedem Benutzer einen eigenen SALT-Wert ablegen soll. Dieses Vorgehen halte ich aber für sehr kritisch, denn wenn jemand an die Daten kommt, dann hat er das verschlüsselte Passwort und den SALT-Wert, dann ist die zusätliche Verschlüsselung mit dem SALT ja wieder futsch.
Eigentlich müssten SALT und Passwort doch unabhängig von einander aufbewahrt werden, also Passwort in der DB und SALT in einer ausgelagerten Datei z.B. auf dem App-Server?

Oder bin ich hier auf dem falchen Weg? Was meint ihr?

Thallius · 24. Feb 2015

Wenn du das Passwort in der DB gespeichert hast, dann hast du eh schon alles versaut.

Da gehört nur der Hash rein und nichts anderes

Gruß

Claus

Dompteur · 24. Feb 2015

Du verwendest einen SALT Wert, damit ein Passwort nicht immer den gleichen Hashwert ergibt.
Ohne Salt-Wert ergibt ein Passwort immer den gleichen Hashwert. Damit kann man beispielsweise User, die das gleiche Passwort verwenden, sofort identifizieren.

Wenn jemand deine Datenbank in die Finger bekommt und einen Brute-Force Angriff macht, dann ergibt sich folgender unterschied.

Ohne Salt:
Für jedes Passwort errechnet er den Hash und schaut, ob dieser Wert irgendwo in der Tabelle vorkommt. Wenn ja, dann hat er eine gültige User / Passwort-Kombination gefunden.

Mit Salt:
Ein berechneter Hash-Wert macht nur Sinn mit dem verwendeten Salt-Wert. Da alle User unterschiedliche Saltwerte haben, hat man folgenden Aufwand : Anzahl der User x Aufwand ohne Salt.

IWantToBelieve · 25. Feb 2015

Ja, den Sinn des Salt-Wertes habe ich schon verstanden. Aber wenn ich meine User-Tabelle folgendermaßen aufbaue:

Code:

ID | Username | Passwort | Salt
----------------------------------
01 | blabla22 | 9f86d... | 123456
02 | bluhbli9 | d74ff... | ABCDEF

Und sich irgendjemand diese Daten abgreifen kann, dann hat er doch den Salt-Wert zu dem Hash-Passwort, somit ist dann doch der Sinn des Salts futsch, oder?

@Thallius: Natürlich lege ich in der DB nur den Hash-Wert ab und nicht das PW in klartext.

Dompteur · 25. Feb 2015

Wenn jemand deine Datenbank in die Hand bekommt, dann ist es eine Frage der Zeit bis wann er mittels Brute-Force all Passwörter ermittelt hat. Üblicherweise kostet das viel Zeit. ;-)

Bei Verwendung erhöhst du diesen Aufwand noch einmal um eine Größenordnung.

	Titel	Forum	Antworten	Datum
	Verschlüsselung: SALT aus Passwort generieren?	Allgemeine Java-Themen	3	24. Jul 2012
M	pfx-Zertifikat in Tomcat für SSL-Verschlüsselung nutzen	Allgemeine Java-Themen	14	28. Jul 2022
X	Verschlüsselung	Allgemeine Java-Themen	18	14. Aug 2019
P	String-Verschlüsselung - Frage zur Sicherheit	Allgemeine Java-Themen	21	26. Mrz 2019
R	Verschlüsselung falsch	Allgemeine Java-Themen	3	1. Mai 2018
R	Verschlüsselung funktioniert nicht	Allgemeine Java-Themen	5	30. Apr 2018
J	Passwort Verschlüsselung hash	Allgemeine Java-Themen	2	19. Aug 2015
D	AES Verschlüsselung / Wirklich AES 128-Bit?	Allgemeine Java-Themen	4	20. Apr 2015
A	Mehrfache XOR Verschlüsselung	Allgemeine Java-Themen	11	5. Feb 2015
	Moderne sichere synchrone Verschlüsselung mit Java?	Allgemeine Java-Themen	3	28. Nov 2014
	Verschlüsselung mit AES	Allgemeine Java-Themen	4	15. Aug 2014
E	Verschlüsselung	Allgemeine Java-Themen	4	23. Mrz 2014
F	Schlüsselworte RSA Verschlüsselung implementieren	Allgemeine Java-Themen	5	5. Mrz 2014
S	Key (für AES-Verschlüsselung) aus String	Allgemeine Java-Themen	4	14. Jan 2014
M	Serialisierung & Verschlüsselung	Allgemeine Java-Themen	2	9. Jan 2014
K	Problem mit Salted - Verschlüsselung	Allgemeine Java-Themen	4	29. Dez 2013
Z	Java E-Mail Client mit End-to-End-Verschlüsselung	Allgemeine Java-Themen	4	30. Nov 2013
J	Verschlüsselung von Text?	Allgemeine Java-Themen	2	3. Feb 2013
K	Vigenere- Verschlüsselung	Allgemeine Java-Themen	13	9. Okt 2012
M	Verschlüsselung von Text und Files durch RSA (Encoding Problem)	Allgemeine Java-Themen	7	7. Sep 2012
T	AES-Verschlüsselung mit eigenem 256 Bit Schlüssel	Allgemeine Java-Themen	12	7. Aug 2012
G	AES Verschlüsselung nur bis 63 Zeichen Länge	Allgemeine Java-Themen	2	19. Jul 2012
M	Verschlüsselung mit Cipher	Allgemeine Java-Themen	5	21. Jun 2012
B	XOR Verschlüsselung	Allgemeine Java-Themen	7	9. Mai 2012
S	Framework für symetrische und asymetrische Verschlüsselung	Allgemeine Java-Themen	3	24. Apr 2012
	Verschlüsselung	Allgemeine Java-Themen	2	30. Mrz 2012
H	Verschlüsselung mit Blowfish	Allgemeine Java-Themen	14	8. Sep 2011
C	Interpreter-Fehler AES verschlüsselung mit MD5 key	Allgemeine Java-Themen	6	26. Jul 2011
S	AES Verschlüsselung - File Headers korrupt	Allgemeine Java-Themen	10	18. Mai 2011
A	Datei, UTF-8, NTRU-Verschlüsselung	Allgemeine Java-Themen	3	16. Mai 2011
B	"Verschlüsselung" mit Passwort (XOR bzw. Modulo)	Allgemeine Java-Themen	7	25. Mrz 2011
B	String Verschlüsselung	Allgemeine Java-Themen	6	16. Jan 2011
M	Verschlüsselung anwenden	Allgemeine Java-Themen	6	30. Nov 2010
J	Verschlüsselung	Allgemeine Java-Themen	22	29. Jun 2010
T	MD5 Verschlüsselung Nullen fehlen?	Allgemeine Java-Themen	2	10. Jun 2010
L	[Exception] RSA Verschlüsselung.	Allgemeine Java-Themen	16	12. Apr 2010
C	javamail signatur und verschlüsselung	Allgemeine Java-Themen	2	25. Nov 2009
R	128 Bit Verschlüsselung/Entschlüsselung in Java?	Allgemeine Java-Themen	6	14. Okt 2009
F	RSA-Verschlüsselung	Allgemeine Java-Themen	4	25. Jun 2009
S	Verschlüsselung in Java	Allgemeine Java-Themen	2	8. Jun 2009
G	Interessant! Verschlüsselung in Java, Charset in der JVM?	Allgemeine Java-Themen	14	19. Mai 2009
D	Eigener Key bei AES Verschlüsselung	Allgemeine Java-Themen	4	21. Jan 2009
T	Verschlüsselung von Dateien	Allgemeine Java-Themen	8	3. Jan 2009
S	Verschlüsselung - IllegalBlockSizeException	Allgemeine Java-Themen	3	20. Okt 2008
G	Problem mit RSA Verschlüsselung bei .net und Java	Allgemeine Java-Themen	1	19. Sep 2008
D	Caesar und Vigenère Verschlüsselung	Allgemeine Java-Themen	2	26. Feb 2008
	Verschlüsselung	Allgemeine Java-Themen	13	30. Dez 2007
@	[Sicherheit] Speicherung von Keys für Verschlüsselung	Allgemeine Java-Themen	4	20. Nov 2007
P	Verschlüsselung in PHP -> Entschlüsselung in Java	Allgemeine Java-Themen	2	13. Aug 2007
	Caeser Verschlüsselung	Allgemeine Java-Themen	6	14. Mrz 2007
S	Verschlüsselung mit Cipher	Allgemeine Java-Themen	8	16. Aug 2006
S	Verschlüsselung	Allgemeine Java-Themen	15	10. Aug 2006
J	Problem mit Dateien/XOR-Verschlüsselung	Allgemeine Java-Themen	5	19. Jun 2006
G	RSA-Verschlüsselung	Allgemeine Java-Themen	1	16. Apr 2006
P	HMACMD5- Verschlüsselung entschlüsseln	Allgemeine Java-Themen	2	8. Feb 2006
I	Verschlüsselung mit Pwd. - User soll Algorithmus wählen	Allgemeine Java-Themen	4	26. Jan 2006
J	Probleme bei XOR verschlüsselung !	Allgemeine Java-Themen	5	24. Okt 2005
G	Verschlüsselung in Java	Allgemeine Java-Themen	9	9. Jun 2005
M	RSA Verschlüsselung	Allgemeine Java-Themen	7	23. Mai 2005
J	Verschlüsselung von Daten	Allgemeine Java-Themen	21	11. Dez 2003
A	Salt Erstellung verbessern	Allgemeine Java-Themen	7	28. Jun 2011

Best Practice Verschlüsselung mit SALT

IWantToBelieve

Mitglied

Thallius

Top Contributor

Dompteur

Top Contributor

IWantToBelieve

Mitglied

Dompteur

Top Contributor

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen