Heute möchte ich ein wenig auf das Thema Sicherheit eingehen – speziell geht es darum, wie wir Persönliche Daten, Passwörter und weitere sensible Daten abspeichern können und worauf wir achten sollten um den Umgang mit diesen Daten so sicher wie möglich zu gestalten. Natürlich möchte ich auch erklären was man keinesfalls tun sollte – und warum!

Was sollte man vermeiden?
Fangen wir ganz langsam an… Zuerst möchte ich eine kleine Liste an Dingen aufzählen, die ihr beim speichern von Passwörtern auf keinen Fall tun solltet:

  • 1. Speichert Passwörter niemals im Klartext!
    Das ist mit das schlimmste was man tun kann – Ich hoffe das versteht sich von selbst! Sollte es dritten -wie auch immer (SQL Injection?)- möglich sein eure Datenbank auszulesen haben diese alle Daten die sie haben möchten. Da viele Leute für verschiedene Plattformen immer die gleichen Login-Daten verwenden, riskiert ihr mit solchen Aktionen die Daten eurer Benutzer.
  • 2. Verwendet lieber keine selbstentwickelte Hashing-Algorithmen
    Selbstentwickelte Algorithmen tauchen zwar mit hoher Wahrscheinlichkeit in keiner Rainbow Table auf, doch die Chancen stehen gut, das die selbstentwickelte Logik sehr schwach ist und dadurch einfach geknackt werden kann. Das gilt natürlich nicht für die Sicherheitsexperten unter uns (zu denen ich mich allerdings nicht zähle) 😉
  • 3. Benutzt keine einfachen Hashes
    In vielen Web-Anwendungen wird mit MD5 Hashes gearbeitet. Diese sind aber seit geraumer Zeit nicht mehr sicher, da es ein leichtes ist das (oder eher „ein“) passendes Passwort zu finden, das im gleichen Hash resultiert. Stichwort: Rainbow Tables.

Worauf sollte ich mich stattdessen konzentrieren?
Zu aller erst sollte euch bewusst sein, das ich euch nur einige Tipps mit auf den Weg geben kann – das hier ist kein „Rezept“ für den perfekten Schutz 😉

  1. Nehmt keine „standard“ Hashing Algorithmen wie MD5 – Verwendet lieber stärkere Alternativen wie z.B. 'sha512' oder 'whirlpool'!
  2. Verwendet einen „salt“ – das sind zufällige Zeichenkombinationen die an das Passwort gehangen werden bevor es gehasht wird. Dadurch wird jedes noch so kurze Passwort um mehrere Zeichen erweitert! Häufig wird z.B. der Username als salt benutzt.
  3. Informiert euch über Funktionen, die eure Programmiersprache und (idealerweise) Framework mitbringt!

In den letzten Wochen und Monaten war die Sicherheit im Web so wichtig wie nie – Immer häufiger hört/liest man von geklauten Personen- oder Bankdaten! Stellt euch also auf eine kleine Serie an Postings ein, in denen ich dieses Thema stärker angehen werde!

Und mit diesen Worten möchte ich mich auch schon für Heute verabschieden. Die Sicherheit im Web ist ein wahnsinnig wichtiges und vielschichtiges Thema das ich nicht „halbherzig“ angehen möchte.
Schaut also auch nächste Woche wieder rein – vielleicht kann ich euch noch etwas interessantes beibringen!

Natürlich wünsche ich euch „Happy Coding“ und einen guten Start in den kalten Dezember!

One comment on “Basics: Einiges über sensible Daten und wie sie abgelegt werden sollten – Passwörter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.