Sup!

Wenn Du kein SSL hast, nützt die MD5-Verschlüsselung vom Passwort nicht allzu viel, denn wer das gecryptete Passwort hat, kann sich dennoch einloggen.

Sicherer ist dann ein Challenge-Response-Verfahren.

Der Server sendet einen Zufallswert, der Client xor-t den mit dem Passwort und schickt Usernamen (unverschlüsselt) und Passwort-Hash (Zufallswert XOR Passwort, MD5-verschlüsselt) zurück.

Auf diese Weise führt auch ein Belauschen der Übertragung nicht zum Bekanntwerden des Passworts. Problem ist nur, dass der Server das Passwort ggf. unverschlüsselt gespeichert haben muss.

Gruesse,

Bio