Argon2.

Argon2 ist eine speicherharte Schlüsselableitungs- und Passwort-Hashfunktion, entworfen von Biryukov, Dinu und Khovratovich, ausgewählt als Sieger der Password Hashing Competition 2015 und in RFC 9106 standardisiert. Sie kommt in drei Varianten: Argon2d (datenabhängige Indizierung, am schnellsten, aber mit Speicherzugriffsmustern, die vom Geheimnis abhängen und so über Seitenkanäle lecken), Argon2i (datenunabhängig, seitenkanalresistent, aber schwächer gegen Time-Memory-Trade-off-Angriffe) und die empfohlene Argon2id (ein Hybrid, der für die erste Hälfte des ersten Durchlaufs die Argon2i-Indizierung und danach Argon2d nutzt).

Ihre Sicherheit beruht darauf, einen großen Speicherblock zu füllen, der über die gesamte Berechnung hinweg vorgehalten werden muss. Diese Speicherhärte ist der entscheidende Vorteil gegenüber älteren Verfahren: Ein GPU- oder ASIC-Cracker kann Tausende günstiger paralleler Hash-Kerne betreiben, kann aber nicht jedem Kern kostengünstig Hunderte Mebibyte schnellen RAM bereitstellen. So erhöht Argon2 die Kosten pro Rateversuch weit stärker als PBKDF2 oder selbst bcrypt (das nur rund 4 KiB nutzt). Konfigurierbare Parameter sind Speicherkosten (m), Zeit/Iterationen (t), Parallelität (p) und Ausgabelänge.

RFC 9106 empfiehlt zwei Profile: eine speicherintensive Option mit m=2 GiB, t=1, p=4 und eine speicherbeschränkte Option mit m=64 MiB, t=3, p=4. Das OWASP Password Storage Cheat Sheet nennt als konservative Webserver-Basislinie Argon2id, m=19456 (19 MiB), t=2, p=1. Argon2 stets mit einem eindeutigen, zufälligen Salt pro Passwort kombinieren und die Parameter an das eigene Latenzbudget anpassen.

flowchart LR
  P[Passwort] --> H[Argon2id]
  S[Eindeutiger zufälliger Salt] --> H
  PARAMS[m Speicherkosten<br/>t Iterationen<br/>p Parallelität] --> H
  H --> MEM[Großen Speicherblock füllen<br/>speicherhart]
  MEM --> O[Abgeleiteter Hash / Schlüssel]
  MEM -. erhöht Kosten .-> GPU[GPU/ASIC-Cracking<br/>wird teuer]