Hallo,

wo wir gerade beim Thema sind. Ich bin gerade wieder über die Aussagen in diesem Beitrag gestolpert:

http://aktuell.de.selfhtml.org/artikel/javascript/md5/

Hier wird doch tatsächlich behauptet, dass es sinnvoll ist die Passwörter vor dem übertragen einfach durch eine Hash-Funktion laufen zu lassen.

Was soll das bitte sehr bringen?! Schließlich könnte ein Angreifer den gehashten Wert abfangen und einfach selbst senden, um sich zu authentifizieren.

Sinvoll könnte es nur werden, wenn man das Passwort mit einem vom Server vorgegebenen Wert, der sich jedes mal ändert, kombiniert und einen gemeinsamen MD5-Wert berechnet. Dadurch würde man zwar immer das gleiche Passwort abfragen, aber durch den vom Server generierten Wert, immer einen anderen Hash-Wert verlangen.

Das Verfahren hätte jedoch den Nachteil, dass der Server auch das Passwort selbst und nicht nur seinen Hash kennen muss, da man nur mit dem Passwort den jeweils von einem weiteren Wert abhängenden Hash berechnen könnte.

Viele Grüße Novi