Hallo,

vielleicht sollte ich nochmal klarstellen, auf was ich eigentlich aufmerksam machen wollte:

Der Fachartikel MD5-Hashing mit JavaScript mit dem Untertitel "Der MD5-Alghorithmus zur sicheren Paßwortübertragung als JavaScript-Version" liest sich so, als wenn man durch das Übertragen von Hash-Werten, das Abfangen von Passwörtern und somit auch einen Angriff verhindern kann. Jedoch kann der Hash-Wert genauso gut abgefangen werden, sodass sich die Sicherheit des Loginsystems, wie mehrfach von suit betonnt, nicht erhöht. Diese Tatsache sollte vielleicht im Artikel erwähnt werden. Natürlich wird das Abfangen des eigentlichen Passwortes, zumindest auf direktem Wege, verhindert. Jedoch wird auch hier nicht darauf eingegangen, dass man einen server-spezifischen Wert (Salt) mit einfließen lassen sollte, um zu verhindern das der Hash eines Passwortes für mehrere Seiten gilt.

Und somit bleibe ich bei meiner am Anfang aufgestellten These, dass es nichts bringt, wenn man Passwörter einfach nur durch eine Hash-Funktion laufen lässt bevor man sie verschickt. Ohne Salt bringt es einfach nichts. Und für das eigene Loginsystem erhöht es nicht die Sicherheit. Der Artikel könnte viele Leute in die irre führen, die glauben, dass ihre Loginsystem durch MD5 sicher wäre.

Viele Grüße Novi