Was sind Salt und Pepper bei Passwort-Hashes?
Salt und Pepper sind zusätzliche Schutzmechanismen für Passwort-Hashes. Sie erschweren Massenangriffe und verbessern die Resilienz bei Leaks.
Was Salt bewirkt
Salt ist ein zusätzlicher Wert, der pro Passwort oder pro Nutzer eingebracht wird, bevor der Hash berechnet wird. Dadurch erzeugen identische Passwörter nicht automatisch dieselben Hashwerte.
Das macht vorberechnete Tabellen und Massenvergleiche deutlich weniger effektiv.
Wie Pepper sich davon unterscheidet
- Pepper ist typischerweise ein zusätzlicher geheimer Wert außerhalb der eigentlichen Passwortdatenbank.
- Er soll verhindern, dass ein reiner Datenbank-Diebstahl sofort ausreicht, um alle Hashes gleich gut anzugreifen.
- Pepper ergänzt Salt, ersetzt ihn aber nicht.
Warum das für reale Leaks zählt
Hashing ohne Salt ist heute nicht ausreichend. Selbst wenn ein Hashing-Verfahren korrekt gewählt wurde, erhöhen Salt und oft auch Pepper die Widerstandsfähigkeit gegen systematische Auswertung.
Für Nutzer bleibt trotzdem wichtig: starke und einzigartige Passwörter sind die erste Verteidigungsschicht.
Kurzüberblick
Die wichtigsten Punkte aus diesem Artikel in kompakter Form.
- Bei Entwicklung Salt als Grundanforderung behandeln.
- Pepper nur mit sauberem Key-Management einsetzen.
- Nicht annehmen, dass gute Server-Speicherung schlechte Nutzerpasswörter kompensiert.
Häufige Fragen
Jetzt ein starkes Passwort erstellen
Nutze den Generator von Zenkey.click, um sofort ein starkes zufälliges Passwort oder eine sichere Passphrase zu erstellen.
Argon2 vs. bcrypt vs. scrypt: Welche Methode schützt Passwörter besser?
Wenn du weiterlesen willst, ist das der naheliegendste nächste Artikel.
Argon2, bcrypt und scrypt sind Password-Hashing-Verfahren mit unterschiedlichen Stärken. Moderne Systeme setzen häufig auf Argon2, wenn die Umgebung es sauber unterstützt.