Hallo Sven,

Sicherheit erhälst du bei Logins nur durch Verschlüsselung, beispielsweise mit SSL. Alles andere ist Spielkram, macht das Verfahren komplizierter, fehleranfälliger, benutzerunfreundlicher, aber kein bißchen sicherer.

Diese Aussage ist nicht ganz richtig. Durch Verwendung einer Prüfsumme statt des Passwortes kann man durchaus mehr Sicherheit erreichen.
Wenn man das geschickt macht, kann man erreichen dass:

• Eine abgefangene Prüfsumme nicht für einen weiteren Zugriff verwendet werden kann
• Eine abgefangene Prüfsumme nicht für andere Dienste verwendet werden kann, die das selbe Verfahren verwenden (für andere natürlich sowieso nicht)

Das erreicht man, indem man eine Prüfsumme aus Passwort + id-des-Dienstes + id-des-Zugriffes erzeugt und nur diese verschickt.
Besser noch sollte man etwas wie summe(summe(Passwort + Name) + id-des-Dienstes + id-des-Zugriffes) verwenden. Damit muss auf dem Server nicht das Passwort sondern nur die Prüfsumme aus Passwort und Name gespeichert werden.

Ein bekanntes Verfahren, das genau so arbeitet und das Du vermutlich auch kennst, ist HTTP Digest Access Authentification

Es ist natürlich klar, dass ein solches Verfahren einen Dienst nicht vor "Man in the middle"-Angriffen schützt, aber sie sind dennoch eine Verbesserung.

Grüße

Daniel