Letzte Woche haben wir geschaut wie du Passwörter speichern solltest, aber was macht ein Server?

Ein Server muss im Gegensatz zu einem Passwortmanager dein Passwort nirgendwo im Klartext eingeben. Er muss nur schauen, ob ein anderer Klartext möglicherweise mit deinem Passwort übereinstimmt. Und das erlaubt es dem Server nicht dein Passwort selbst zu speichern, sondern eine spezielle Variante davon. In der Informatik redet man dabei von einer so genannten "Hashfunktion": Sie erzeugt aus einem Text einen eindeutigen Fingerabdruck. Im Regelfall wird das eine sehr große Zahl sein, die man dann "Hash" nennt. Und gespeichert wird dann nicht das Passwort selbst, sondern ein Hash des Passworts. Und weil das ein bisschen abstrakt ist, schauen wir uns mal ein zwei Beispiele für Hashfunktionen an:

• Die Länge des Passwortes eignet sich nicht besonders gut, weil es häufig zu so genannten Kollisionen kommt. Die Passwörter "Hans" und "Nils" hätten beide den Hash 4. Der Server würde also für jedes Passwort nur die Länge speichern und jedes Passwort der gleichen Länge als korrekt melden.
• Die Summe der Zeichen eines Passwortes funktioniert schon ein wenig besser. Man ordnet einfach jedem Buchstaben einen numerischen Wert zu (a = 1, b = 2, ...) und speichert dann die Summe dieser Werte. Für "Hans" wäre das zum Beispiel 134, für "Nils" ergäbe sich 146. Dummerweise ist bei dieser Variante nur wichtig welche Buchstaben in dem Passwort vorkommen, die Reihenfolge spielt keine Rolle. Und außerdem können auch verschieden lange Passwörter auf den gleichen Hash abgebildet werden.

Server machen das dann mit entsprechend komplizierteren Verfahren, das Prinzip bleibt aber gleich. Auf der Eingabe wird herumgerechnet und dabei kommt dann eine große Zahl raus. Und welche Anforderungen an diese Zahl gestellt werden schauen wir dann in der nächsten Woche.