Ergebnis der Suchanfrage

• Forum: Programmieren allgemein

  Re: [PHP] Verständnisfrage zu Passwort abfrage

   
    by negaH, 16. Aug 2005
  @Flocke: sorry, dann habe ich wohl was falsch verstanden.
  
  
  
  Ist im Grunde egal ob man die Salts versendet oder nicht, dadurch wrid das Protokoll nicht unsicherer, aber auf Server Seite benötigt man zu dieem Zeitpunkt noch keine Session Werte.
  
  Der Salt kann egal in welcher Richtung abgelauscht werden und dann entstprechend dem Protokoll mißbräuchlich verwendet werden. Zudem hat er eine...
• Forum: Programmieren allgemein

  Re: [PHP] Verständnisfrage zu Passwort abfrage

   
    by negaH, 16. Aug 2005
  nicht ganz
  
  1.) Client sendet LoginName := Hash(NameSalt || eindeutigen Namen) an Server
  2.) Server sucht mit spezielle Methode in DB nach LoginName == Hash(NameSalt || BenutzerName aus DB)
  3.) Server sendet PasswortSalt aus Datensatz + ChallengeSalt aus dem Datensatz an Client
  3.) Client sendet LoginVerifierClient := Hash(ChallengeSalt || Hash(PasswortSalt || Passwort))) an Server
  4.)...
• Forum: Programmieren allgemein

  Re: [PHP] Verständnisfrage zu Passwort abfrage

   
    by negaH, 16. Aug 2005
  Flockes Methode setzt aber voraus das auf dem Server das Benutzerpasswort lesbar gespeichert wird.
  Besser ist es doppelt zu hashen. D.h. auf dem Server steht beim Benutzerpasswort nur ein unveränderlicher und einmal bei der Anmeldung erzeugter Zufallssalt + der MD5 Hash über das Kennwort. Alles andere ist absolut korrekt so wie es Flocke benutzt. Nurdas eben nun dieser "Verify MD5 Abdruck" in...