Erfahren Sie, wie Sie die Kennwortspeicherung für Webanwendungen durch Hashing, Salting und Peppering von Kennwörtern, die Implementierung von Kennwortrichtlinien und die Verwendung von Passwort-Managern sichern.

Secure password storage may be done via using the following options: 1. Strong password policy implementation, with length, complexity, history etc. 2. Hashing Algorithms 3. Multi-factor Authentication protocol 4. Encryption enabled on password storage databases

Wie können Sie die Passwortspeicherung für Webanwendungen am besten sichern?

Die Speicherung von Passwörtern ist ein entscheidender Aspekt der Sicherheit von Webanwendungen, da Passwörter oft das primäre Mittel zur Authentifizierung von Benutzern und zum Schutz sensibler Daten sind. Viele Webentwickler machen jedoch immer noch häufige Fehler, die Passwörter Hackern preisgeben und die Privatsphäre der Benutzer gefährden. In diesem Artikel erfahren Sie, wie Sie die Kennwortspeicherung für Webanwendungen am besten sichern, indem Sie einige grundlegende Prinzipien und bewährte Methoden befolgen.

1 Warum Passwortsicherheit wichtig ist

Passwortsicherheit ist wichtig, da Passwörter häufig Ziel von Cyberangriffen wie Brute-Force, Phishing oder Credential Stuffing sind. Diese Angriffe zielen darauf ab, Passwörter von Benutzern oder Datenbanken zu erraten oder zu stehlen und sie für den Zugriff auf andere Konten oder Systeme zu verwenden. Wenn Passwörter nicht sicher gespeichert sind, können Hacker sie leicht knacken und ernsthafte Schäden verursachen, wie z. B. Datenschutzverletzungen, Identitätsdiebstahl oder Betrug. Daher ist Passwortsicherheit nicht nur für Webanwendungen wichtig, sondern auch für die Nutzer und die Daten, die sie ihnen anvertrauen.

Add your perspective

Beenish Javaid

IT Governance Professional | Technology Risk Consultant | ITIS Auditor | ISO 27001 ISMS LA | Certified in Cybersecurity | CA Finalist | ISO 20000 LA | Masters in Philosophy
Report contribution
Secure password storage may be done via using the following options: 1. Strong password policy implementation, with length, complexity, history etc. 2. Hashing Algorithms 3. Multi-factor Authentication protocol 4. Encryption enabled on password storage databases

Like
Anuraag P.

Security Advisor| SECURE everything | Application Security | DevSecOps | Security Automation | Problem Solver
Report contribution
We should start moving towards true passwords less solutions which reduces risk and efforts of securing passwords. If not true passwords less we should prefer federated Identities, OTP based login over passwords

Like
Nalinikanth M (nal) (He/Him)

I help teams build secure apps & AI systems | Cybersecurity Leader @Thoughtworks | CEH | AWS Security | AI Security Specialist | Threat Modelling | DevSecOps | Product security
Report contribution
Like mentioned, password security is crucial as weak passwords can lead to data breaches, identity theft, and financial fraud. Strong, unique passwords prevent un authorized access, protecting personal and corporate data from cyber threats. Regular updates and multi-factor authentication enhance this security further, making it harder for attackers to exploit accounts. I have seen these small things leading to large breach across organisations that brings the reputation down and also has monetary impact on organisations

Like
Kam Karaji MSyI MCIIS

CSO | CISO | NED | Wall Street Journal Top 140 CISO
Report contribution
Password security is a critical aspect of cybersecurity due to the prevalent threats of cyberattacks such as brute force, phishing, and credential stuffing. Cybercriminals often target passwords to gain unauthorized access to user accounts or databases. If passwords are not adequately protected, hackers can exploit vulnerabilities, leading to severe consequences such as data breaches, identity theft, or fraud. Recognizing the significance of password security is crucial for safeguarding not only web applications but also the users and their entrusted data. Implementing best practices in password security is essential to mitigate these risks and ensure a robust defense against potential cyber threats.

Like
Waleed Ahmed - Lead Auditor

GRC Expert | Certified ISO 27001 Lead Auditor | Certified ISO 27001 Lead Implementer | ISMS Consultant | ISO 27701 | ISO 19011 | ISO 22301 | ISO 27031
Report contribution
To secure password storage for web applications: 1. Hashing: Use strong, one-way hashing algorithms (e.g., bcrypt, Argon2) to irreversibly convert passwords into hash values. 2. Salted Hashes: Employ unique salts for each user to prevent rainbow table attacks. 3. Key Derivation Functions (KDF): Implement KDFs to slow down brute-force attacks. 4. HTTPS: Ensure secure communication with the server using HTTPS. 5. Password Policies: Enforce strong password policies, including length and complexity requirements. 6. Multi-Factor Authentication (MFA): Encourage or require users to enable MFA for additional security layers.

Like
Sandhya Rout

Member of Technical Staff @ NetApp | Product Security
Report contribution
With the increase in cyber threats and attacks, prioritising password security is crucial. It is essential to create strong, unique passwords, avoid password reuse, regularly update passwords, and adhere to the best practices

Like

2 So hashen Sie Passwörter

Eine der grundlegendsten und effektivsten Möglichkeiten, die Speicherung von Passwörtern zu sichern, besteht darin, Passwörter zu hashen, bevor sie in einer Datenbank gespeichert werden. Hashing ist ein unidirektionaler Prozess, bei dem ein Passwort in eine zufällige und eindeutige Zeichenfolge umgewandelt wird, die als Hash bezeichnet wird. Hashing macht es unmöglich, das ursprüngliche Kennwort aus dem Hash zurückzuentwickeln, selbst wenn die Datenbank kompromittiert ist. Allerdings sind nicht alle Hashing-Algorithmen gleich sicher. Sie sollten einen modernen und robusten Hashing-Algorithmus wie bcrypt, scrypt oder argon2 verwenden, der langsam und resistent gegen Brute-Force-Angriffe ist. Sie sollten auch die Verwendung veralteter oder schwacher Hashing-Algorithmen wie MD5 oder SHA1 vermeiden, die von Hackern leicht geknackt werden können.

Add your perspective

Nalinikanth M (nal) (He/Him)

I help teams build secure apps & AI systems | Cybersecurity Leader @Thoughtworks | CEH | AWS Security | AI Security Specialist | Threat Modelling | DevSecOps | Product security
Report contribution
I would strongly recommend using something like bcrypt for hashing a password it is a simple algorithm that can be implemented with ease. This article is absolutely on spot.

Like
Sandhya Rout

Member of Technical Staff @ NetApp | Product Security
Report contribution
It is essential to choose a strong hash function and regularly update your hashing algorithms as new secure options become available.

Like

3 So salzen Sie Passwörter

Eine weitere Möglichkeit, die Passwortsicherheit zu erhöhen, besteht darin, Passwörter vor dem Hashing zu salzen. Salting ist eine Technik, bei der jedem Passwort ein zufälliger und eindeutiger Wert, ein sogenannter Salt, hinzugefügt wird, bevor es gehasht wird. Salting verhindert, dass Hacker vorberechnete Hash-Tabellen, sogenannte Rainbow Tables, verwenden, um Passwörter zu knacken. Durch das Salzen wird auch sichergestellt, dass selbst wenn zwei Benutzer dasselbe Kennwort haben, sie unterschiedliche Hashes in der Datenbank haben. Um Kennwörter zu salzen, sollten Sie für jeden Benutzer ein zufälliges und langes Salt generieren und es an das Kennwort anhängen oder voranstellen, bevor Sie es hashen. Sie sollten auch das Salt zusammen mit dem Hash in der Datenbank speichern, damit Sie das Kennwort überprüfen können, wenn sich der Benutzer anmeldet.

Add your perspective

Kam Karaji MSyI MCIIS

CSO | CISO | NED | Wall Street Journal Top 140 CISO
Report contribution
1. Generate Unique and Random Salts: Create unique and random salts for each user to thwart pre-computed table attacks. 2. Use Long and Random Salts: Lengthen and randomize salts for increased complexity and unpredictability. 3. Combine Salt with Password: Append or prepend salts to user passwords before hashing to ensure unique hash values. 4. Store Salt with Hash: Store salts alongside hashed passwords in the database for effective password verification. 5. Dynamic Salt Updating: Periodically update salts to bolster defence against potential breaches or suspicious activity. 6. Implement Strong Hashing Algorithms: Utilize secure hashing algorithms like bcrypt, Argon2, or scrypt for robust protection.

Like
Sandhya Rout

Member of Technical Staff @ NetApp | Product Security
Report contribution
By salting passwords, even if two users have the same password, their stored hashes will be different due to the unique salts. This prevents attackers from using rainbow tables to quickly crack passwords.

Like

4 Wie man Passwörter pfeffert

Eine dritte Möglichkeit, die Passwortsicherheit zu verbessern, besteht darin, Passwörter vor dem Hashing zu pfeffern. Peppering ist eine Technik, bei der jedem Passwort vor dem Hashen ein geheimer und fester Wert, der als Pepper bezeichnet wird, hinzugefügt wird. Das Pfeffern unterscheidet sich vom Salzen dadurch, dass der Pfeffer nicht in der Datenbank gespeichert wird, sondern an einem separaten und sicheren Ort, z. B. in einer Umgebungsvariablen oder einer Konfigurationsdatei. Peppering erschwert es Hackern, Passwörter zu knacken, selbst wenn sie Zugriff auf die Datenbank und die Salts haben, da sie den Pepper auch bräuchten, um die richtigen Hashes zu generieren. Um Passwörter zu pfeffern, sollten Sie einen zufälligen und langen Pfeffer generieren und ihn an das Kennwort anhängen oder voranstellen, bevor Sie es hashen. Auch den Pfeffer solltest du geheim halten und regelmäßig wechseln.

Add your perspective

5 Implementieren von Kennwortrichtlinien

Die Kennwortsicherheit kann durch die Implementierung von Kennwortrichtlinien erreicht werden, die bestimmte Regeln und Anforderungen für Benutzer beim Erstellen oder Ändern von Kennwörtern erzwingen. Diese Richtlinien tragen dazu bei, zu verhindern, dass Benutzer schwache oder gängige Kennwörter auswählen. Beim Festlegen einer Kennwortrichtlinie sollten Sie Faktoren wie minimale und maximale Länge, Komplexität, Eindeutigkeit, Ablauf und Überprüfung berücksichtigen. Beispielsweise sollten Passwörter mindestens 8 Zeichen, aber nicht länger als 64 Zeichen sein, um Leistungsprobleme zu vermeiden. Sie sollten eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. sie sollten nicht wiederverwendet werden; sie sollten regelmäßig geändert werden; und Benutzer sollten überprüft werden, bevor sie erstellt oder zurückgesetzt werden. All diese Maßnahmen tragen dazu bei, das Risiko von Credential Stuffing oder Identitätsdiebstahl zu verringern.

Add your perspective

Sandhya Rout

Member of Technical Staff @ NetApp | Product Security
Report contribution
When implementing password policies, it's crucial to strike a balance between security and usability. Here are some points to remember for implementing password policies: 1. Password Complexity 2. Minimum Password Length 3. Password Expiration 4. Password History 5. Account Lockout 6. 2FA

Like

6 So verwenden Sie Passwort-Manager

Eine fünfte und letzte Möglichkeit, die Passwortsicherheit zu erhöhen, ist die Verwendung von Passwort-Managern, die Benutzern helfen, Passwörter sicher zu generieren, zu speichern und zu verwalten. Passwort-Manager sind Anwendungen oder Browsererweiterungen, die starke und zufällige Passwörter für jedes Konto oder jede Website erstellen und diese in einem verschlüsselten Tresor speichern, der mit einem Master-Passwort oder einem biometrischen Faktor entsperrt werden kann. Passwort-Manager können Passwörter auch automatisch ausfüllen, wenn Sie sich anmelden, und Passwörter geräteübergreifend synchronisieren. Passwort-Manager können Benutzern helfen, die Fallstricke zu vermeiden, die mit der Verwendung schwacher oder wiederverwendeter Passwörter oder deren Aufschreiben auf Papier oder digitalen Notizen verbunden sind. Einige der beliebtesten und seriösen Passwort-Manager, die Sie verwenden können, sind LastPass, Dashlane, 1Password oder Bitwarden.

Add your perspective

7 Hier erfahren Sie, was Sie sonst noch beachten sollten

Dies ist ein Bereich, in dem Beispiele, Geschichten oder Erkenntnisse geteilt werden können, die in keinen der vorherigen Abschnitte passen. Was möchten Sie noch hinzufügen?

Add your perspective

Sandhya Rout

Member of Technical Staff @ NetApp | Product Security
Report contribution
Overly complex or restrictive policies may lead to user frustration and increased support requests. It's important to find the right balance based on your organisation's security needs and the sensitivity of the data being protected.

Like

Wie können Sie die Passwortspeicherung für Webanwendungen am besten sichern?

1

2

3

4

5

6

7

1 Warum Passwortsicherheit wichtig ist

2 So hashen Sie Passwörter

3 So salzen Sie Passwörter

4 Wie man Passwörter pfeffert

5 Implementieren von Kennwortrichtlinien

6 So verwenden Sie Passwort-Manager

7 Hier erfahren Sie, was Sie sonst noch beachten sollten

Cybersecurity

Rate this article

Thanks for your feedback

More articles on Cybersecurity

More relevant reading

Wie können Sie die Passwortspeicherung für Webanwendungen am besten sichern?

1

2

3

4

5

6

7

1 Warum Passwortsicherheit wichtig ist

2 So hashen Sie Passwörter

3 So salzen Sie Passwörter

4 Wie man Passwörter pfeffert

5 Implementieren von Kennwortrichtlinien

6 So verwenden Sie Passwort-Manager

7 Hier erfahren Sie, was Sie sonst noch beachten sollten

Cybersecurity

Rate this article

Thanks for your feedback

Explore Other Skills