PwdHash
9. November 2008PwdHash möchte eine Lösung zum Verwenden des gleichen Passwortes für alle Accounts, die man besitzt, geben, wobei kein Sicherheitsrisiko entsteht, dass eine Webseite mit seinem Account gehackt wird und damit gleich das Passwort aller Accounts, die man besitzt, aufgedeckt wird.
Das Angebot des „Stanford Security Lab“ geht jetzt den Weg, dass man sich auf der Webseite mit Hilfe des dort eingebundenen JavaScripts einen seitenspezifisches Passwort aus einem Generalpasswort und der Adresse Webseite generiert, welchen man dann auf der angegebenen Webseite verwendet. Wie vom Hash-Verfahren bekannt, kann man aus dem generierten Passwort nicht wieder das Generalpasswort auslesen. Das ganze ist vergleichbar mit einer Quersumme, aus der man auch nicht wieder die ursprüngliche Zahl herauslesen kann. Sinn des ganzen ist nun, dass man sich ausschließlich eine einziges Generalpasswort merken muss, ohne auf allen Webseiten das selbe Passwort zu verwenden. Vor dem Login auf einer Webseite muss man dann einfach wieder das spezifische Passwort mit PwdHash generieren lassen oder man verwendet komfortablerweise die angebotene Firefox- und Internet-Explorer-Erweiterung. Für den Opera steht ein UserScript bereit.
Damit man wirklich sicher gehen kann, dass man jederzeit auf die Funktion von PwdHash zugreifen kann, auch wenn die Webseite mal nicht mehr erreichbar ist oder entfernt wird, sollte man sich unbedingt wie emfohlen die PwdHash-Webseite samt den eingebetteten JavaScript-Dateien lokal abspeichern. Das Projekt steht sowieso unter einer freien Lizenz.
Insgesamt eine sehr schlaue Idee für alle, die sich nicht gerne mehre Passwörter merken, bis jetzt ist das aber noch nicht so konfortabel und man sollte bedenken, dass auch die Hash-Algorithmen Sicherheitslücken aufweisen können, grundsätzlich steht es aber sehr gut um die Sicherheit.