Ein Hash-Verfahren ist ein mathematische nicht ein-eindeutiges Abbildungsverfahren. Statt einem Hash könntest du das Passwort auch verschlüsselt in der Datenbank ablegen.

Ich bevorzuge eigentlich Hashes (MD5/SHA), da es dann nahezu unmöglich ist, dass jemand das Original-PW zurückrechnet. Viele Benutzer nutzen leider ja ein PW für alles. Ich sehe die Verwendung eines Hashes zur Authentifizierubng gegenüber der Verwendung einer verschlüsselten Verbindung/einer verschlüsselten Datenablage eher als Schutz des Anwenders vor sich selbst

Dem stimme ich zu, mit dem Zusatz, dass du nach Möglichkeit einen modifizierten Hash-Algorithmus verwenden solltest, da für Standardverfahren Möglichkeiten bestehen, sehr schnell vom Hash auf das Passwort zu schließen. (siehe z.B. http://www.milw0rm.com/md5/list.php)

Andererseits schützt so ein Hash wirklich nur den Benutzer vor dem Serverbetreiber, oder bei kompromittierten Login-Datenbanken. Daher empfiehlt es sich, wie Thantanos schon gesagt hat, eine Verschlüsselung zu verwenden, wobei die Schlüssel (Zertifikate) unbedingt vor den Transaktionen über ein "sicheres" Medium (z.B PGP/GPG verschlüsselte Mails) verteilt werden müssen.

Richtig, eine Modifikation bringt ein Sicherheitsplus, allerdings ist dieses imho bei Passwörtern, die ja meist nicht sonderlich lang sind nicht so erheblich. Die Nutzung von Zertifikaten und deren Verteilung per PGP/GPG wäre natürlich wünschenswert, ist abr meist nur im professionellen Umfeld durchführbar. Stell dir mal vor, Lieschen Müller wollte eBay nutzen und müsste sich erst mit oben genannten Dingen auseinander setzen.

Das mit dem Punkt, dass die Verwendung eines Hashes nur vorm Severbetreiber schützt, würde ich so nicht unterschreiben. Folgendes Szenario: PW wird als Kalrtext gespeichert. Ein Angreifer kommt an die Daten, der Benutzer nutzt mit der selben E-Mail-Adresse-Passwort-Kombi auch noch eBay und Amazon... Ähnliches gilte bei schwach verschlüsselten Daten, oder wenn der Cracker ebenfalls an den Schlüssel kommen kann. Kommt der Cracker hingegen nur an Hashes, schaut der erstmal in die Röhre

Aber, eine Diskussion über die Vor- und/oder Nachteile verschiedener Möglichkeiten PWs unkenntlich zu machen gehören nicht hier hin, dafür sollten wir dann nen Thread im K&T aufmachen.

Deswegen mal wieder On-Topic:
fuknersascha, falls du eine MD5-Implementation inklusive Quelltext haben willst, sag Bescheid. Irgendwo auf meiner Platte liegt noch eine, die du dann also auch modifizieren könntest

Danke für die Anworten aber es ist eigentlich nicht so wichtig bei dem Programm wie sicher es ist, denn man kann icht soviel schaden anrichten wenn man das passwort weis

Wollte das passwort eigentlich nur mit Platzhaltern ausfüllen

aber danke für die Informationen