|
Registriert seit: 29. Mai 2004
Ort: Augsburg
220 Beiträge
Delphi XE3 Enterprise
|
AW: Sichere Abfrage Passwort Client -> Server
19. Sep 2015, 11:55
Vorteile:
- Passwort liegt nie im Klartext auf dem Server
- Passwort wird nie im Klartext übertragen
- Durch den Zufallswert Schutz vor Replay-Attacken
- Wird die Datenbank öffentlich, verhindert die Tatsache, dass das Passwort auf dem Server nochmals mit BCrypt behandelt wurde, ein Nutzen der Anmeldedaten
Mögliche Schwachstellen:
- Gelingt es einem Angreifer, sowohl den Datenverkehr der initialen Speicherung als auch einer Authentifizierung abzuhören, kann ein Angreifer daraus ein gültiges Anmeldepasswort errechnen (Kennt jemand dafür einen Lösungsansatz, außer DH oder Transportverschlüsselung?)
Geändert von Martin W (19. Sep 2015 um 11:58 Uhr)
|
|
|
Zitat
|