Hallo,

Da die Seite keinen Anspruch auf besondere Sicherheit hat (ist nicht über das Internet erreichbar) und über keine hochsensiblen Daten verfügt, sondern lediglich zur Unterscheidung der angemeldeten Person dienen soll, reicht die einfache MD5-Verschlüsselung vorerst aus.

Zur Erklärung: MD5 ist keine Verschlüsselung, sondern eine kryptografische Hashfunktion, die mittlerweile als unsicher gilt.

Das Hashen von Passwörtern dient dazu, das Passwort zu schützen, nicht die Daten, die mit diesem Passwort zugänglich sind. Wenn ein Angreifer an die gehashten Passwörter kommt, kommt er wahrscheinlich ohnehin an die zugehörigen Daten.

Warum muss das Passwort geschützt werden? Weil Leute Passwörter wiederverwenden. Selbst wenn deine Seite nebensächlich ist, so kann es sein, dass Nutzer das Passwort z.B. für ihr E-Mail-Konto und andere wichtigere Webdienste wiederverwenden.

Ob die Seite übers Internet zugänglich ist oder nicht, Trojaner infizieren auch Intranets und schicken die gesammelten Daten ins Netz. Das ist nicht unwahrscheinlich, sondern ganz normaler Alltag.

Sicherheit ist nicht nebensächlich; und diese Problematik zeigt, dass man Sicherheit nirgendwo vernachlässigen kann.

Grüße,
Mathias