Was sind Salt und Pepper bei Passwort-Hashes?
Salt und Pepper sind zusätzliche Schutzmechanismen für Passwort-Hashes. Sie erschweren Massenangriffe und verbessern die Resilienz bei Leaks.
Was Salt bewirkt
Salt ist ein zusätzlicher Wert, der pro Passwort oder pro Nutzer eingebracht wird, bevor der Hash berechnet wird. Dadurch erzeugen identische Passwörter nicht automatisch dieselben Hashwerte.
Das macht vorberechnete Tabellen und Massenvergleiche deutlich weniger effektiv.
Wie Pepper sich davon unterscheidet
- Pepper ist typischerweise ein zusätzlicher geheimer Wert außerhalb der eigentlichen Passwortdatenbank.
- Er soll verhindern, dass ein reiner Datenbank-Diebstahl sofort ausreicht, um alle Hashes gleich gut anzugreifen.
- Pepper ergänzt Salt, ersetzt ihn aber nicht.
Warum das für reale Leaks zählt
Hashing ohne Salt ist heute nicht ausreichend. Selbst wenn ein Hashing-Verfahren korrekt gewählt wurde, erhöhen Salt und oft auch Pepper die Widerstandsfähigkeit gegen systematische Auswertung.
Für Nutzer bleibt trotzdem wichtig: starke und einzigartige Passwörter sind die erste Verteidigungsschicht.
Kurz-Checkliste
Die wichtigsten Maßnahmen aus diesem Leitfaden in kompakter Form.
- Bei Entwicklung Salt als Grundanforderung behandeln.
- Pepper nur mit sauberem Key-Management einsetzen.
- Nicht annehmen, dass gute Server-Speicherung schlechte Nutzerpasswörter kompensiert.
Häufige Fragen
Direkt ein starkes Passwort erstellen
Nutze den Generator auf Zenkey.click, um sofort ein starkes, zufälliges Passwort oder eine sichere Passphrase zu erzeugen.