Hallo Elderan,

super Ausführung!

Also wie du siehst, dass jmd. über das Loginformular versucht das PC zu knacken ist eher unwahrscheinlich, und sofern man kein Wort aus dem Wörterbuch benutzt (fast) unmöglich.
Darum versucht ein Angreifer immer die verschlüsselte Version zu bekommen, was oft leichter ist als man denkt.
Darum sollte das Passwort auch noch dann sicher sein, wenn es ein Cracker in die finger bekommt.

Was dem Cracker dann natürlich auch noch bleibt, ist das Cookie des Benutzers! Dieses ist zwar nur solange gültig, bis der Browser geschlossen wird, aber immerhin... und welche Sicherheitsmaßnahmen der private Benutzer auf seinem PC einsetzt, darauf habe ich leider keinen Einfluß.

Um dem Cracker auch noch das "Lauschen" zu erschweren, wird bei mir grundsätzlich https angefordert. Es gibt es hierzu noch weitere Möglichkeiten oder ist https sicher genug hierfür?

Greez,
opi