Wie speichern Websites Passwörter wirklich?
Seriöse Websites speichern Passwörter nicht im Klartext, sondern als gehashte Werte mit zusätzlichen Schutzmechanismen wie Salt und modernen Password-Hashing-Verfahren.
Warum Websites Passwörter nicht im Klartext brauchen
Ein Dienst muss dein Passwort nicht lesen können, um dich anzumelden. Er muss nur prüfen, ob die Eingabe zu dem zuvor hinterlegten Nachweis passt.
Darum werden Passwörter idealerweise nicht reversibel gespeichert, sondern über geeignete Verfahren in sichere Vergleichswerte überführt.
Der übliche sichere Ablauf
- Beim Setzen des Passworts wird ein Salt ergänzt und ein Hash erzeugt.
- In der Datenbank landet nicht das Passwort selbst, sondern nur der daraus abgeleitete Wert plus notwendige Metadaten.
- Beim Login wird derselbe Prozess erneut ausgeführt und mit dem gespeicherten Hash verglichen.
Wo Implementierungen scheitern
Probleme entstehen, wenn Anwendungen veraltete Algorithmen, zu geringe Parameter oder sogar reversible Speicherung einsetzen. Dann werden Datenbanklecks deutlich gefährlicher.
Aus Nutzersicht ist das ein weiterer Grund, Passwörter nie mehrfach zu verwenden. Selbst wenn ein Anbieter schlecht implementiert ist, darf der Schaden nicht auf andere Konten überspringen.
Kurz-Checkliste
Die wichtigsten Maßnahmen aus diesem Leitfaden in kompakter Form.
- Bei eigenen Projekten nur moderne Passwort-Hashing-Verfahren einsetzen.
- Als Nutzer starke, einzigartige Passwörter verwenden, weil du die Server-Implementierung nie vollständig kontrollierst.
- Besonders alte Konten regelmäßig prüfen und bei Unsicherheit aktualisieren.
Häufige Fragen
Direkt ein starkes Passwort erstellen
Nutze den Generator auf Zenkey.click, um sofort ein starkes, zufälliges Passwort oder eine sichere Passphrase zu erzeugen.