Passwörter bei Anbietern im Web
Wer im Internet bestellt, Emails versendet oder eines der vielen Web 2.0-Angebote nutzt, muss sich meistens mit Benutzernamen und Kennwort anmelden. Damit diese Anmeldung geprüft werden kann, muss logischerweise der Anbieter diesen Benutzernamen und dieses Kennwort speichern.

Aus Sicherheitsgründen wird ein seriöser Anbieter aber niemals das Kennwort im Klartext speichern, sondern nur seinen sogenannten Hashwert. Als Hashfunktion bezeichnet man eine Funktion, die das Kennwort nach einem bestimmten Algorithmus zerhackt. Ein einfaches Beispiel: Es wird nicht das Kennwort "Feiern" gespeichert, sondern nur die Summe der Dezimalwerte der einzelnen Buchstaben, also etwa 1 für A, 2 für B, etc.

In unserem Beispiel bekämen wir

Feiern
65951814

Der Hashwert als Summe dieser Zahlen ist in unserem Beispiel dann 57.

Der Sicherheitsvorteil liegt darin, dass von der 57 ausgehend, das Kennwort "Feiern" nicht zurück gerechnet werden kann. Wenn Sie Ihr Kennwort eingeben, berechnet das System einfach den Hashwert davon und vergleicht ihn mit der gespeicherten 57. Ist das Ergebnis richtig, ist die Anmeldung erfolgreich.

Diese Hashfunktion unseres Beispiels würde in der Praxis nie angewendet werden, da sie viel zu einfach ist. Es gibt nämlich noch Dutzende andere Wörter, die genau denselben Hashwert liefern, etwa die Anagramme "Freien", "Ferien", "Reifen", aber auch "Reite", "ZZE" und viele andere. Mit jedem dieser Kennwörter könnte man sich erfolgreich am System anmelden. Eine sinnvolle Hashfunktion wird möglichst für jedes Kennwort einen eindeutigen Hashwert erzeugen, der aber trotzdem nicht in das Kennwort zurück gerechnet werden kann.

Die meisten Anbieter im Internet haben eine Funktion, über die Sie sich ein Kennwort zusenden lassen können, wenn Sie ihr eigenes vergessen haben. Es ist zwar nicht schön, wenn Kennwörter per Email versendet werden, aber in Kombination damit, dass es der Anwender gleich ändern muss, akzeptabel.

Es gibt aber auch Anbieter, die in der Lage sind, Ihnen Ihr eigenes Kennwort zuzusenden. Das bedeutet aber, dass
  • das Kennwort unverschlüsselt über das Internet versendet wird und damit ab sofort unbrauchbar ist, und
  • der Anbieter Ihr Kennwort im Klartext gespeichert haben muss, um es Ihnen überhaupt zusenden zu können.
Und das ist vollkommen inakzeptabel. Wir können nur empfehlen, von solchen Anbietern weg zu bleiben.

Die Existenz solcher Anbieter ist auch ein sehr guter Grund, nicht bei allen Anbietern dieselben Kennwörter zu verwenden. Aber das würden Sie ja sowieso nie tun, nicht wahr?