Hallo Kalle,

Wenn jemand das md5- Wort abfängt und sich damit einloggt, kommt er doch genau so zum Erfolg wie der Original- User.

Ich habe nicht verstanden, wofür der Aufwand gut sein soll, ein md5 statt eines Passwortes zu übertragen.

Ein Passwort während der Übertragung zum Server mit MD5 zu verschlüsseln bringt, wie du ja schon gemerkt hast, gar nichts - wenn du dich gegen Lauscher absichern willst, musst du schon eine richtige Verschlüsselung verwenden - SSL ist da sehr gebräuchlich. Der Vorteil Passwörter MD5-verschlüsselt zu _speichern_ liegt darin, dass falls die Passwortdatei kompromittert wird (Einbruch auf dem Server, etc.) niemand an die zum Einloggen verwendeten Klartextpasswörter rankommt[1].

Wenn der Client aber schon ein MD5-verschlüsseltes Passwort an den Server schickt bringt das gar nichts, da ein Mithörer einfach den abgefangenen MD5-Hash an den Server schicken könnte ohne das Klartextpasswort zu kennen. Du hast also nur ein Klartextpasswort, das die Form eines MD5-Hashs hat.

Schöne Grüße,

Johannes

[1] Es gibt natürlich auch Ansätze, um an die mit MD5 'verschlüsselten' Passwörter heranzukommen, z.B. die schon genannten Rainbow-Tabellen. Insbesondere bei schlechten Passwörtern (Existierende Wörter, etc.) kann man damit durchaus Erfolg haben.