Hi! Tatsächlich habe ich die mittlerweile einigermaßen im Griff. Ein Teppich, diverse weitere Schallabsorber und vor allem einfache Putztücher in den Schalllöchern der akustischen Gitarren bringen wirklich viel... Oh! Und das Schlagzeug wird mit Bettdecken zugeschmissen, bis es nicht mehr zu sehen ist. :-) Ja, die Vorbereitungen für den Dreh eines Videos werden immer länger, aber ich hoffe, dass ich bald einige Dinge ausquartieren kann. :-)

Variante 1: Das Passwort liegt in gespeicherter Form vor. Dann bildet der Rechner darüber ebenfalls den Hash und vergleicht dann die Hashes. Da Hashfunktionen kollisionsfrei sein sollen, ist dies ein Beweis dafür, dass das korrekte Passwort eingegeben wurde. Variante 2: Das Passwort wurde gar nicht gespeichert sondern nur der zugehörige Hash. Jetzt müssen nur die beiden Hashes verglichen werden. Variante 2 ist übrigens deutlich wahrscheinlicher. Passwörter sollten heutzutage eigentlich nirgendwo mehr im Klartext abgespeichert werden.

Hallo Kai. Hashfunktionen sind Einwegfunktionen. Daher kann man vom Hash nicht mehr auf die ursprüngliche Eingabe zurückschließen. Das ist ja die Idee dahinter: Werden statt den Klartextpasswörtern nur deren Hashwerte in einer Datenbank abgespeichert, so kann ein Angreifer im schlimmsten Fall die Hashes sehen, nicht aber die Klartextpasswörter. Ob er nun trotzdem in der Lage ist, diese herauszufinden, hängt von der Güte der Hashfunktion ab. Wenn sich dann ein Benutzer anmeldet, wird vom übertragenen Passwort ebenfalls der Hash gebildet und die Hashes verglichen. Zu deiner zweiten Frage: Ja, die Hashfunktion liefert zu einer gegebenen Eingabe x immer die gleiche Ausgabe y. Die Stärke deines Passworts ist also weiterhin entscheidend für die Sicherheit. Aber natürlich sollte der von dir skizzierte Angreifer erst gar keinen Zugriff auf die Datenbank mit den sensiblen Nutzerdaten bei Amazon haben. In diesem Falle ist eigentlich schon vorher etwas schief gegangen. :-)

Geben denn Anbieter Informationen darüber raus, ob sie Passwörter speichern oder Hash-Werte? Oder muss ich da quasi einfach drauf vertrauen, dass bei Amazon und Co fähige Leute sitzen, die nicht die eigentlichen Passwörter speichern?

Nach den "Skandalen" der letzten Jahre, stellen immer mehr auf Hash um und manche geben auch bei der Registrierung an das die Passwörter "verschlüsselt" hinterlegt werden. Wissen tut man es nie genau, im Endeffekt könnten sie ja auch Lügen, denn überprüfen kannst du es nicht. Aber: Wenn du zum Beispiel irgendwo die Passwort vergessen Funktion nutzt und sie anstatt dir einen Link zu schicken um dein Passwort zu ändern, die dein Passwort schicken, dann weißt du, dass sie kein Hash nutzen und die Passwörter sehr wahrscheinlich im Klartext irgendwie rumliegen, muss aber nicht sein, gibt ja auch noch andere Verschlüsselungsmethoden außer Hash. Bei den großen Anbietern (Amazon, Google, Facebook usw.) kann man schon sicher sein, das die Passwörter halbwegs sicher sind, denn wie wir wissen, absolute Sicherheit gibt es nicht und im Internet erst recht nicht. Gibt auch Möglichkeiten das Passwort bei der Eingabe auf deinem Rechner abzufangen, wenn es jemand darauf anlegt :)

Ok cool, danke für die Info.

Die Frage ist ja schon etwas älter vielleicht ließt es ja noch jemand. Um die Sicherheit weiter zu erhöhen wird oft noch eine zusätzliche Komponente zum hashen verwendet: ein sog. 'Salt'. Dabei handelt es sich um eine zufällige Zeichenkette, die an das Passwort oder was auch immer man verschlüsseln möchte dran gehangen und ebenfalls mit gehashed wird. Der (das?) Salt wird dabei neben dem hash in der Datenbank gespeichert. Das sorgt dafür, dass gleiche Eingaben (gleiche Passwörter) nicht zum gleichen hash führen. Aus einer Passwort Tabelle ist so nicht zu erkennen, welche Menschen die gleichen Passwörter verwendet haben, was zum Beispiel eine Auswertung anhand besonders oft verwendeter Passwörter etc. unmöglich macht. Zum Entschlüsseln wird dann einfach der Salt aus der Datenbank geladen, an das eingegebene Passwort gehangen, gehashed und anschließend mit dem hash in der Datenbank verglichen.

Die junge Dame steht repräsentativ für diejenigen unter uns, die ebenfalls nichts mit dem Thema anfangen können. Sebastian kann uns Themen näher bringen, wenn er genau weiß, an welcher Stelle wir den roten Faden verlieren. Dinge, die dem Tutor eventuell selbstverständlich erscheinen, sind es vielleicht nicht. Zumindest für einige von uns nicht. Und da macht es durchaus Sinn bzw. ist sogar eine tolle Idee, eine weitere Person mit ins Boot zu holen, die Fragen stellt, die uns möglicherweise ebenfalls auf dem Herzen liegen. Danke dafür euch beiden :)

Ehrlichgesagt hat se im Video nichts zu suchen. Nerven tierisch ihre stupiden Enwürfe..