Hallo,

Und wenn überall das Passwort als Hash-Wert übertragen wird, dann braucht der Angreifer auch nur diesen Hash. … Wo liegt da der Vorteil?

Üblicherweise wird ein gesalzener Hash verwendet.

Ja den Vorschlag habe ich ja eben auch gemacht:

Oder man hasht eben nicht nur das Passwort und den Benutzernamen, die ja auch auf anderen Seiten gleich sein können, sondern beides in Verbindung mit einem Server-Spezifischen Wert. Dann könnte ein Angreifer den abgefangenen Hash nicht für andere Seiten verwenden.

Aber davon steht auch nichts in dem Fachartikel.

Viele Grüße Novi