Novi: Sicherer Javascript Passwortschutz ?!

Beitrag lesen

Hallo,

Wenn der Server aber direkt den Hash-Wert und nicht das Passwort selbst zu Authentifizierung haben will, dann reicht es einem Angreifer den Hash des Passwortes zu kennen. Das Passwort selbst hätte keine Bedeutung, da der Hash vom Passwort immer dann gesendet wird, wenn man ansonsten das Passwort im Klartext gesendet hätte. Du schützt zwar das Passwort, aber für einen Angreifer reich es dadurch aus, nur den Hash zu kennen. Also ist es sinnlos dieses Passwort zu schützen. (Zumindest auf diese Weise)

Wenn ein Angreifer deinen HTTP-Traffic überwachen kann, ist es egal ob der den übertragenen Hash oder das Klartextpasswort snifft - bei der Hash-Variante wird das Klartextpasswort aber geschützt, da es oftmals wahrscheinlich ist, dass der Benutzer dasselbe Passwort anderswo auch noch verwendet.

Und wenn überall das Passwort als Hash-Wert übertragen wird, dann braucht der Angreifer auch nur diesen Hash. Konsequentes Hashen würde dazu führen, dass das Klartextpasswort keine Rolle mehr spielt. Was bringt es, wenn niemand mein Passwort kennt, solange überall eh nur der Hash verlangt wird. Wenn "der Benutzer dasselbe Passwort anderswo auch noch verwendet", dann wird auch da der selbe Hash verwendet. Wo liegt da der Vorteil?

Deshalb meine ich ja, dass das Hashen nichts bringt. Gut wenn jetzt einige das Passwort als Hash-Wert übertragen und andere nicht, dann bringt es etwas.

Oder man hasht eben nicht nur das Passwort und den Benutzernamen, die ja auch auf anderen Seiten gleich sein können, sondern beides in Verbindung mit einem Server-Spezifischen Wert. Dann könnte ein Angreifer den abgefangenen Hash nicht für andere Seiten verwenden.

Der Artikel klingt jedoch so, als würde man allein durch das Übertragen des Passwortes als Hash-Wert einen Sicherheitsgewinn haben.

Viele Grüße Novi

--
"(...) deshalb mag ich Binärtechnik. Da gibt es nur drei Zustände: High, Low und Kaputt." (Wau Holland)