Weitere Gedanken zu Bcrypt

Hallo zusammen

Nach dem bekannt werden von dem Leak von den Passwörtern von LinkedIn und LastFM, hab ich zuerst mal meine LastFM Accounts gelöscht, wo ich mich sowieso nie eingeloggt habe. Dazu hab ich einen ganz interessanten Artikel über Heise.de gefunden, welcher ganz konkret die Vorgehensweise bei dem cracken dieser Hashes auflistet. Ich habe letztens über Verschlüsselung geschrieben und auch verschiedene Tests durchgeführt.

Seit damals verwende ich überall wo es nur geht BCrypt, um genau in solchen Situationen, falls die Daten mal abhanden kommen sollten, gegen das lösen der Passwörter möglichst Resistent zu sein. Heute kam ein zusätzlicher Gedanke zu diesem Thema. Nämlich wird oft die Verschlüsselung von Webseiten gefordert, was auch Sinn macht, allerdings könnte man ja auch direkt beim Client den BCrypt hash berechnen lassen. Somit spart man selbst Ressourcen und zugleich werden Leute die den Netzwerkverkehr in einem Cafe oder anderen Öffentlichen WLan abhören das Klartext passwort nicht ersichtlich.

Für BCrypt gibts bereits eine Javascript implementierung, welche sehr vielversprechend aussieht. Werde noch weiter prüfen müssen ob dies auch Sicher ist. Natürlich wäre es wünschenswerter wenn direkt der ganze Verkehr zwischen Client und Server verschlüsselt ist, wie beim neuen Webprotokoll von Google SPDY.

Published by

Kordian Bruck

I'm a TUM Computer Science Alumni. Pizza enthusiast. Passionate for SRE, beautiful Code and Club Mate. Currently working as an SRE at Google. Opinions and statements in this blog post are my own.

Leave a Reply