Wettbewerb: Argon2 erzeugt die besten Passwort-Hashes

Die Password Hashing Competition hat vergangene Woche ihren Gewinner bekannt gegeben: Argon2 heißt das nach Meinung der Juroren sicherste Verfahren, um Passwörter zu Zwecken der Verifizierung auf eine Zeichenfolge mit fester Länge abzubilden, während sich aus dem Hash nicht auf das Passwort schließen lässt.

Zusammen mit den Entwicklern des Argon2-Konzepts wollen die Juroren nun eine finale Version des Hashing-Algorithmus erstellen. Die Diskussion dazu erfolgt auf einer öffentlichen Mailingliste; jeder Interessierte kann sich einbringen.

Diese finale Spezifikation und eine Referenzimplementierung in der Sprache C sollen spätestens Ende des zweiten Quartals 2015 vorliegen. Bis dann hoffen die Initiatoren auch auf eine Finalisierung von vier weiteren Algorithmen, die sie aus bestimmten Gründen ebenfalls empfehlen, wenn auch Algon2 ihre Hauptempfehlung bleibt.

So ist Catena ihnen zufolge wegen seines agilen Frameworks empfehlenswert, und wegen seiner Widerstandsfähigkeit gegen Seitenkanalattacken. Lyra2 loben sie für sein elegantes Design auf Basis einer kryptografischen Schwammfunktion und für seinen alternativen Ansatz, um Seitenkanalattacken abzuwehren. Makwa sei durch seine ungewöhnliche Delegationsfunktion und das auf Factoring basierende Sicherheitsmodell interessant, yescrypt hingegen für seine große Funktionsvielfalt und den leichten Umstieg von scrypt. Sie alle werden für Szenarien empfohlen, in denen ihre besonderen Stärken zur Geltung kommen.

Die aktuelle, noch nicht finale Version von Argon2 finden Interessierte auf GitHub. Es wurde – wie auch schon Argon1 – an der Universität Luxemburg entwickelt.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.