Den MHPG habe ich im Februar 2017 vorgestellt. Er basiert auf einer Idee von Tim Anderson und generiert dir mithilfe eines Master-Passworts dienstespezifische Passwörter, sodass mehrfach genutzte, gleiche Passwörter der Vergangenheit angehören. Das Tool ist komplett in HTML und JavaScript geschrieben, es werden keine Daten an meinen Server gesendet.

Mithilfe der neuen Auto-Copy-Funktion werden erzeugte Passwörter sofort in deine Zwischenablage kopiert. So entfällt lästiges manuelles Kopieren der Passwörter. Zusätzlich ermöglicht dies, dass das Passwort nicht mehr im Klartext ausgegeben werden muss. Stattdessen wird das Ergebnis nur noch mit den klassischen Punkten angezeigt. So kann niemand das Passwort mitlesen, wenn er dir über die Schultern schaut.

Möchtest du das Passwort doch einmal im Klartext sehen, so kannst du es dir mit einem Klick auf das Augen-Symbol ganz einfach anzeigen lassen (und ggf. auch manuell kopieren, falls es mit der Automatik mal nicht klappen sollte).

In der Linux-Konsole wäre das zum Beispiel so möglich:

$ printf 'Geheim123:twitter.com' | sha256sum
9ffbb90ddd53fd75fd3e885791e030047a21ee57b7a54f03ecca90f9b8eff34f  -

Die ausgegebene Zeichenkette ist die hexadezimale Darstellung des 256 bit langen Hash. Dabei stellt in der Eingabe Geheim123 das konstante Passwort und twitter.com die Domain des Dienstes, in den man sich einloggen will, dar.

Vorteil: Ein Hash ist nicht umkehrbar. Das heißt, wenn das Passwort, zum Beispiel durch einen Datenbank-Hack, erbeutet wird, kann man von diesem Passwort nicht zu dem konstanten Passwort zurückkehren.

Diese Methode hat jedoch auch Nachteile: Zwar dürfte das Passwort durch seine reine Länge als sicher angesehen werden, bei den meisten Diensten im Internet wird es wohl aber nicht akzeptiert, da es die Passwortrichtlinien nicht erfüllt. Grund: Es enthält keine Sonderzeichen. Ein weiterer Nachteil ergibt sich, wenn man einmal ohne Linux-Konsole unterwegs ist, denn einen SHA-2-Hash auf Papier zu berechnen ist recht mühsam. 😉

Beiden Nachteilen begegnet der Hash Password Generator Mobile von Tim Anderson. Zum einen bist du damit nicht auf deine Konsole angewiesen und zum anderen implementiert er den PwdHash-Algorithmus von Collin Jackson. Er gibt Passwörter zurück, die auch ein Sonderzeichen enthalten, sofern das konstante Passwort ebenfalls eines enthält.

Leider ist weder die Website von Tim Anderson noch jene von Collin Jackson responsiv und sie lassen sich somit nur schlecht auf dem Smartphone nutzen. Daher habe ich das einmal selbst in die Hand genommen und den Generator von Tim Anderson nachgebaut. Er enthält ebenfalls den PwdHash-Algorithmus – ich habe allerdings den als gebrochen geltenden MD5-Algorithmus durch SHA512 ersetzt. Das wäre zwar nicht unbedingt nötig, aber es hinterlässt stets einen faden Beigeschmack, wenn man veraltete Krypto-Funktionen nutzt.

Mein Mobiler Hash-Passwort-Generator (MHPG) ist rein in HTML und JavaScript implementiert, du brauchst also keine Angst zu haben, dass ich deine Passwörter mitlesen kann, denn sie werden nicht zum Server übertragen. Wenn du mir nicht traust, darfst du dich im Code gerne selbst vergewissern und den Generator auch selbst hosten.