Netzlexikon H wie Hashes
Nicht mal Mark Zuckerberg kennt das Passwort zu deinem Facebook-Account. Warum? Weil das Passwort nur als Hash abgespeichert wird in der Datenbank. Praktisch. Allerdings nur solange man eine Sache beachtet.
Was sind eigentlich Hashes?
Hashes können verschiedene mathematische Funktionen sein. Eine Quersumme ist zum Beispiel ein Hash. Es gibt aber auch kompliziertere Hash-Funktionen. Man könnte Hashes auch Prüfsummen nennen. Man nutzt sie zum Beispiel, um Passwörter sicherer abzuspeichern.
WAS? Wer speichert mein Passwort?
Naja, bei Seiten wie beispielsweise Facebook oder LinkedIn sind deine Passwörter natürlich in deinem Account hinterlegt. Aber nicht im Klartext, sondern als Hash. Das heißt, selbst Mark Zuckerberg kennt dein richtiges Passwort nicht.
Und wie funktioniert das dann genau, wenn ich mich einlogge?
Wenn du dein Passwort auf der Login-Seite eingibst, wandelt die Hashfunktion deine Eingabe direkt in einen Hash um. Du tippst also "123456" und hinten raus kommt eine Hash-Zeichenkolonne. Zum Beispiel "feiohHnd234". Und die speichert Facebook dann in seiner Datenbank ab. Davon kriegen wir natürlich gar nichts mit. Der Vorteil: Hackt jemand die Daten der Facebook-Nutzer, dann sieht er nicht das zum Account gehörende Passwort "123456", sondern eben den Hash "feiohHnd234".
Also verschlüsselt der Hash-Algorithmus einfach mein Passwort?
Nein, denn ein verschlüsselter Inhalt lässt sich normalerweise auch wieder entschlüsseln. Der Hash-Algorithmus funktioniert aber nur in eine Richtung. Er kann nicht wieder entschlüsselt werden. Selbst wenn jemand den Hash eines Passworts kennt, weiß er nicht automatisch das tatsächliche Passwort.
Warum sind denn dann alle Hacker so scharf auf diese Hashes? Im Darknet kann man die doch sogar kaufen...
Weil die Hacker sich Passwörter mithilfe der Hashes manchmal erschließen können. Wenn der Hacker eine Liste mit Millionen von Hashes vor sich liegen hat und weiß, dass das beliebteste Passwort "123456" lautet, kann er sich natürlich denken, dass der häufigste Hash zu diesem "123456"-Passwort gehört.
Ja gut, aber wer als Passwort "123456" wählt, der ist doch auch selbst schuld.
Das stimmt, aber richtig große Hash-Leaks wie im Sommer 2016 bei LinkedIn lassen eben auch allgemeine Rückschlüsse auf Passwort-Gewohnheiten zu. Der LinkedIn-Leak war der größte Hash-Leak in der Geschichte. Er ist so unfassbar groß, dass Hacker daraus Statistiken ableiten können. Das macht es auch insgesamt viel einfacher, Passwörter zu knacken - selbst wenn sie komplizierter sind als "123456".