Hvad er Hashing af Adgangskoder?

Hashing af adgangskoder er afgørende for at opretholde et vist niveau af sikkerhed, når man opbevarer adgangskoder. Men er hashing altid nok?

27-03-2023 - 7 minutters læsning. Under kategorien: awareness.

Hvad er Hashing af Adgangskoder?

Der sker stadig flere data- og sikkerhedsbrud, og derfor er det fuldstændigt afgørende, at virksomheder formår at beskytte deres kunders adgangskoder tilstrækkeligt. Det kan de for eksempel gøre ved at hashe dem, før de opbevarer dem.

Men hvad er hashing af adgangskoder, og hvordan beskytter det mod hacking? Og hvor sikker er hashing af adgangskoder egentlig? Alt dette - og mere - giver vi dig svar på i denne artikel.

Hvordan fungerer hashing af adgangskoder?

Hashing er en form for krypteringsteknik, som blev opfundet længe før internettet og pc’en. I dag bliver hashing brugt til at sikre al slags følsom data.

Kort sagt er hashing en krypteringsproces, som beskytter adgangskoder ved at omdanne dem til tilfældige tekststrenge.

Rent teknisk sker der det, når du vælger en ny adgangskode til en af dine online konti, at koden bliver kørt igennem en algoritme, der kaldes en hash-funktion eller hashing-algoritme. Herefter kommer den hashede adgangskode ud på den anden side og bliver opbevaret på virksomhedens server. På den måde er adgangskoderne beskyttet mod hackere, som måtte få adgang til databasen med adgangskoder.

Næste gang du logger ind, indtaster du din adgangskode, som bliver kørt gennem selvsamme algoritme. I denne proces tjekker hjemmesiden, om det hashede resultat matcher den hashede adgangskode, som er opbevaret på serveren. Hvis det er et match, ved hjemmesiden, at du har indtastet den korrekte adgangskode, som herefter logger dig ind.

Processen sker i løbet af millisekunder, og uden man som bruger bemærker det.

Hashing-algoritmer

Der findes flere forskellige hashing-algoritmer, som er udviklet over flere år. Det inkluderer fx MD5, SHA-1, SHA-2, RIPEMD-160 og Whirlpool. Men der er imidlertid stor forskel på, hvor sikre de hver især er. MD5 og SHA-1 betragtes eksempelvis ikke som værende sikre, fordi de er forældede i forhold til, hvor avanceret pc’en er blevet. Det betyder, at de er blevet for nemme at knække gennem eksempelvis brute force.

Andre hashing-algoritmer anses dog stadig som værende sikre og anvendes bl.a. af password managers, hvoraf den mest sikre til opbevaring af adgangskoder er SHA-256.

Hashing-algoritmer er matematiske formularer, som er konsekvente. Det betyder, at hvis du kører en adgangskode gennem den samme algoritme to gange, vil det hashede resultat ikke ændre sig.

Hashing-algoritmer er ensrettede, hvilket vil sige, at de ikke fungerer i den modsatte retning. Det gør det sværere at knække hashede adgangskoder og således være i stand til at læse adgangskodens originale tegn. Men desværre betyder det ikke, at hashing af adgangskoder er 100% sikkert.

Derfor er hashing en god idé

I tilfælde af et sikkerhedsbrud, fx ved et hackerangreb på en hjemmeside, hvor en hacker får adgang til databasen med kundernes adgangskoder og andre følsomme oplysninger, kan det være afgørende, at disse oplysninger er hashede.

Det betyder nemlig, at hackeren kun har adgang til de tilfældige tekststrenge og ikke de faktiske koder og oplysninger, hvilket hackeren ikke kan bruge til noget, medmindre vedkommende finder en måde at knække dem på. Kun ved at knække de hashede adgangskoder, kan hackeren være i stand til at aflæse de originale kodeord.

Hvordan knækker hackere hashede adgangskoder?

Som med de fleste andre sikkerhedsfremmende foranstaltninger, er der både styrker og svagheder ved hashing. Den største svaghed ved hashing er selvsagt, at det er muligt at knække en hashet adgangskode.

Hackere kan knække hashede adgangskoder via et ordbogsangreb. Her bruger de software til at køre forudsigelige og hyppigt anvendte adgangskoder gennem hyppigt anvendte hashing-algoritmer. Hvis der er et match mellem de hashede resultater og de data, hackeren er i besiddelse af, vil hackeren nemt kunne udlede det originale kodeord.

Hackere kan desuden gøre brug af såkaldte regnbuetabeller. De kan betragtes som en form for spread sheets med populære hashing-algoritmer. Tabellerne indeholder hyppige kodeord og deres hashede modpart. Hvis en hacker får adgang til en database med hashede adgangskoder, kan de tjekke regnbuetabellen for et match. Hvis der er et match i tabellen, vil den originale adgangskode også fremgå.

På grund af disse risici ved hashede adgangskoder, “salter” mange hjemmesider kundernes adgangskoder udover at hashe dem.

Saltning af adgangskoder

Hashing er ikke 100% sikkert, fordi de krypterede tekststrenge aldrig er 100% tilfældige. Man vil i hvert fald altid få det samme resultat, hvis man kører den samme adgangskode gennem en hashing-algoritme flere gange – dvs. tekststrengen vil altid være den samme. For at gøre hashing endnu mere tilfældigt, bruger man derfor saltning.

Saltning er en kryptografisk teknik og proces, hvor man tilføjer en tekststreng bestående af mindst 32 tilfældige tegn til adgangskoden, før man kører den igennem hashing-algoritmen. Det gør, at den samme adgangskode vil skabe et nyt hashet resultat hver eneste gang, man logger ind.

Saltning er effektivt af flere grunde, som imødekommer usikkerhederne ved hashing, herunder:

  • At det gør adgangskoder lange og unikke, hvilket betyder, at de ikke vil være at finde i cyberkriminelles lister eller ordbøger, som man ser ved succesfulde ordbogsangreb.
  • At det gør hashede kodeord og tekststrenge fuldstændigt tilfældige, så de ikke vil være at finde i en regnbuetabel.

Som et ekstra lag af beskyttelse findes også det, der kaldes peppering, som ligeledes er en kryptografisk proces, der kan tilføjes til adgangskoden udover hashing og saltning.

Husk også peber på din adgangskode

“Peberet” er en form for saltning, som er hemmelig. Det er ikke tilfældigt genereret ligesom traditionel saltning, men “peberet” ændrer hashen ved at tilføje en ekstra tekststreng til adgangskoden og bliver derudover opbevaret i en separat database fra de hashede adgangskoder, hvilket også øger sikkerheden.

“Peberet” er som regel valgt af ejeren af hjemmesiden, som skal sørge for, at det er sikkert og stærkt nok. Det er statisk, forstået på den måde, at det samme peber bruges af alle brugere på en hjemmeside. Det er altså ikke individuelt tilpasset ligesom traditionel saltning.

Men modsat saltning er peppering som sagt hemmeligt. Dvs. at peberet opbevares i en separat database, og altså ikke sammen med hashen og saltet. Skulle en hacker lykkes med at bryde ind i databasen med hashes og salt, vil de stadig ikke kunne knække adgangskoderne, fordi de ikke kender peberet.

Salt og peber gør det ekstremt svært for hackere at knække adgangskoder. Selv svage adgangskoder bliver næsten umulige at knække, når de er beskyttet med salt og peber, fordi de ændrer hashen. Teknikkerne øger altså adgangskodesikkerheden markant.

Beskyt dig selv mod hacking

Det bedste, du kan gøre, for at beskytte dine online brugerkonti er at sørge for at lave stærke adgangskoder, som skal være lange, unikke og tilfældige. På den måde undgår du, at dit kodeord dukker op i en regnbuetabel eller på en liste over hyppigt hashede kodeord.

Det kan være en god idé at anvende en password manager til at holde styr på alle dine adgangskoder, som selvfølgelig alle bør være forskellige. Password manageren vil nemlig opbevare dine adgangskoder sikkert og kan tilmed generere unikke og lange kodeord for dig, så du selv slipper for at skulle finde på dem.

Password managers hasher dine adgangskoder og vil ofte også krydre dem med både salt og peber dem for at opnå den højest mulige sikkerhed, hvilket gør dem yderst svære at knække.

Sidst men ikke mindst er det selvfølgelig altid en god idé at træne cybersecurity awareness for at lære alt om de aktuelle trusler samt opnå adfærdsændringer og god cyberhygiejne og på den måde blive sit eget bedste cyberforsvar.

Forfatter Emilie Hartmann

Emilie Hartmann

Emilie er ansvarlig for Moxsos content- og kommunikationsindsats. Hun brænder for at øge opmærksomheden på den menneskelige del af cybersikkerhed og forbinde mennesker og teknologi.

Se alle indlæg af Emilie Hartmann

Lignende indlæg