Passwort-Knacker mischen beim Wettbewerb für neue Hash-Funktionen mit

Mit dem Ende der Einreichungsfrist der Password Hashing Competition sind 24 Algorithmen akzeptiert worden. Es fällt auf, dass einige der konkurrierenden Methoden von bekannten Password-Crackern entwickelt wurden.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Die Password Hashing Competition (PHC) ist ein Zusammenschluss von interessierten Individuen, die nach besseren Methoden suchen, um Passwörter sicher zu speichern. Seit Anfang des Monats ist die Einreichungsfrist der PHC beendet; insgesamt wurden 24 verschiedene Algorithmen für den Wettbewerb akzeptiert. Auffällig ist, dass sich unter den teilnehmenden Entwicklern auch bekannte Passwort-Knacker befinden.

So hat zum Beispiel Alexander Peslyak, besser bekannt als SolarDesigner und Autor des Passwort-Brechers John The Ripper, einen Algorithmus eingereicht. Genauso ist Jeremi Gosney, bekannt für seinen Monster-Cracking-Cluster, mit von der Partie. Auch Alex Biryukov und Dmitry Khovratovich sind im Kryptobereich keine Unbekannten, sie haben Kollisionsangriffe auf AES-192 und AES-256 Schlüssel entwickelt. Viele andere der Teilnehmer des Wettbewerbs sind Forscher von Universitäten und anderen Forschungseinrichtungen. Mehrere Algorithmen stammen von Angehörigen deutscher Universitäten.

Ziel des Wettbewerbs ist es, die nächste Generation eines Passwort-Hashing-Algorithmus zu entwickeln. Man zielt dabei besonders auf Algorithmen ab, die immun gegen stark parallelisierte Rechenvorgänge, zum Beispiel mit GPU-Clustern, sind. Die Organisatoren sagen, dass Entwicklungen in diesem Bereich aktuellen Hashing-Methoden wie PBKDF2 und bcrypt gefährlich werden könnten. Auch ist man auf der Suche nach flexibleren Algorithmen, bei denen sich zum Beispiel die Speichervoraussetzungen gut justieren lassen. So können Serverbetreiber selbst zwischen maximaler Sicherheit und benötigten Server-Ressourcen abwägen. (fab)