Argon2
Modernes, speicherhartes Verfahren zum sicheren Speichern von Passwörtern – Gewinner der Password Hashing Competition.
Offizielle Quelle: argon2-cffi.readthedocs.io
Überblick
Argon2 ist ein modernes Verfahren zum sicheren Speichern von Passwörtern. Statt ein Passwort im Klartext abzulegen, wird ein Hash gespeichert – ein nicht umkehrbarer Fingerabdruck. Argon2 ging 2015 als Gewinner aus der Password Hashing Competition hervor und gilt heute als empfohlene Standardwahl für neue Anwendungen. Die Variante Argon2id kombiniert Schutz gegen unterschiedliche Angriffsarten und ist die übliche Empfehlung.
Funktionsweise
Drei Eigenschaften machen Argon2 für diesen Zweck geeignet:
- Salt: jedem Passwort wird ein zufälliger Wert beigemischt, sodass gleiche Passwörter zu unterschiedlichen Hashes führen. Das entwertet vorberechnete Tabellen (Rainbow Tables).
- Speicherhärte: Argon2 benötigt absichtlich viel Arbeitsspeicher zur Berechnung. Das erschwert massenhaftes Durchprobieren auf spezialisierter Hardware (GPUs, ASICs) deutlich stärker als rein rechenintensive Verfahren.
- Konfigurierbarer Aufwand: Zeit-, Speicher- und Parallelitätskosten lassen sich einstellen und mit wachsender Hardware-Leistung erhöhen, um das Verfahren langfristig widerstandsfähig zu halten.
Typische Einsatzgebiete
Argon2 wird überall dort eingesetzt, wo Anmeldedaten gespeichert werden müssen – etwa für Login-Bereiche von Web-Anwendungen. Beim Anmelden wird das eingegebene Passwort erneut gehasht und mit dem gespeicherten Hash verglichen, ohne dass das Klartext-Passwort jemals dauerhaft vorliegt. In der Praxis genügt es meist, die geprüften Standardparameter der jeweiligen Bibliothek zu verwenden.
Grenzen und Abwägungen
Argon2 schützt gespeicherte Passwörter, ist aber nur ein Baustein. Ergänzend gehören Maßnahmen wie die Begrenzung von Anmeldeversuchen, sichere Sitzungsverwaltung und der Schutz der Übertragung (TLS) dazu. Die Speicherhärte bedeutet zudem, dass die Parameter zum verfügbaren Arbeitsspeicher des Servers passen müssen – ein bewusster Kompromiss zwischen Sicherheit und Ressourcenverbrauch. Ältere, etablierte Verfahren wie bcrypt bleiben weiterhin akzeptabel, für Neuentwicklungen wird jedoch zunehmend Argon2id bevorzugt.
Einordnung
Argon2id ist die empfohlene Standardwahl für das sichere Speichern von Passwörtern in neuen Anwendungen – als ein zentraler, aber nicht alleiniger Bestandteil eines durchdachten Sicherheitskonzepts.