Hash-Funktion

Hashes begegnen Computer­nutzern überall, auch wenn sie sich nicht für IT-Security interessieren. Mit ihnen werden Downloads überprüft und Daten identifiziert.

Dass wir Nachrichten verschlüsselt übertragen können, verdanken wir der Errungenschaften der Kryptologie. Eine ­Einführung auch für Nicht-Mathematiker.

Ein 2019 vorgestellter Chosen-Prefix-Angriff auf SHA-1 wurde nun in die Praxis umgesetzt. Ein Grund mehr, endlich zu sicheren Hashfunktionen zu wechseln.

Gute Passwörter halten lange, aber nicht ewig. Ein paar Relikte aus der UNIX-Geschichte wurden jetzt geknackt.

Im freien Content Management System Typo3 klaffen mitunter kritische Sicherheitslücken. Patches schließen mehrere Schwachstellen.

Oracle hat angekündigt, dass mit seinem nächsten Quartalsupdate MD5 für die Signatur von JAR-Paketen ausgemustert wird. Ebenso soll das JDK nur noch in Ausnahmen SHA-1-Zertifikate anerkennen.

Angreifer hätten den offiziellen WordPress-Server zum Ausspielen von Updates für eigene Zwecke missbrauchen können, um so unzählige Seiten zu kapern. Mittlerweile soll die Schwachstelle geschlossen sein.

Ein erster praktikabler Angriff von Sicherheitsforschern auf SHA-1 verschärft die Aussage, dass die Hashfunktion nicht mehr zum Einsatz kommen sollte.

Die beim Ashley-Madison-Hack erbeuteten Daten zeigen anschaulich, wie man ein eigentlich sicheres Login-System mit einer kleinen Unachtsamkeit ad absurdum führen kann.

In der Password Hashing Competition (PHC) hat sich der Algorithmus Argon2 gegen 23 Mitbewerber durchgesetzt.

Die Entwickler der freien Web-Browsers Firefox wollen den angreifbaren Hash-Algorithmus in Zukunft nicht mehr für verschlüsselte Verbindungen akzeptieren. Server-Betreibern bleibt jedoch noch Zeit für die Umstellung.

Das National Institute of Standards and Technology schreitet mit der Standardisierung von SHA-3 voran und bittet nun um Kommentare von Krypto-Experten. Zuletzt war der Prozess scharf kritisiert worden.

Mit dem Ende der Einreichungsfrist der Password Hashing Competition sind 24 Algorithmen akzeptiert worden. Es fällt auf, dass einige der konkurrierenden Methoden von bekannten Password-Crackern entwickelt wurden.

SHA-1 ist nicht mehr sicher, wird aber trotzdem noch gerne verwendet. Selbst Behörden wie das US-amerikanische NIST und das deutsche BSI hielten sich zu Beginn des Jahres nicht an die eigenen Vorgaben.

Forscher werfen dem NIST vor, den SHA-3-Algorithmus Keccak für die Standardisierung unsicherer zu machen. Sichere Hashverfahren werden insbesondere für digitale Signaturen und Integritätschecks von Software benötigt.

Die Entwickler haben 618.473 Zeilen Quellcode angefasst, um zahlreiche Krypto-Verfahren zu implementieren. Außerdem knackt das Tool nun auch Passwörter, die länger als 15 Zeichen sind – und hält sich auf Wunsch an Passwort-Policies.

Wer den wohl gemeinten Tipps folgt und für jeden Dienst ein eigenes Passwort verwendet, braucht entweder ein fotografisches Gedächtnis oder die richtigen Tricks, um das scheinbare Chaos in den Griff zu bekommen.

Ein eigentlich cleveres Konzept zum Nachladen von Code entpuppt sich als potentielle Hintertür, weil dabei ungeeignete Krypto-Funktionen zum Einsatz kommen. So könnten Dritte Teile des Mega-Codes manipulieren.

Kurz vor der für den Sommer erwarteten Kür eines Nachfolgers für den Secure Hash Algorithm 2 (SHA2) kommen Zweifel auf, ob er wirklich gebraucht wird. Das NIST spricht bereits nicht mehr von einer "Nachfolge", sondern von einer "Ergänzung".

Unter Lion haben auch Nutzer ohne Root-Rechte Zugriff auf die Passwort-Hashes aller anderen Nutzer, berichtet ein Sicherheitsexperte. Anhand der Hashes kann man das ursprüngliche Passwort herausfinden.