Forum: Programmieren allgemein
by Chewie,
10. Feb 2008
Richtig, und darüber hinaus musst du diesem vertrauen. Hat er dieses Vertrauen verdient?
Forum: Programmieren allgemein
by Chewie,
10. Feb 2008
Ob PGP oder Zertifikate - das Grundproblem wird nur verschoben:
Woher willst du wissen, dass ein öffentlicher Schlüssel wirklich authentisch ist?
Forum: Programmieren allgemein
by Chewie,
10. Feb 2008
Ich versteh das Verfahren nicht, zunächst scheitert es schon an diesem Punkt:
Was meinst du "sein reales Passwort"? Das Passwort, das er gerne haben würde? Und wie trägt er dieses auf dem Server ein, ohne es zu übertragen?
Forum: Programmieren allgemein
by Chewie,
10. Feb 2008
Richtig, genauso würde das gehen, es würde aber wie angesprochen nicht viel bringen, da ja das Passwort irgendwann einmal ausgehandelt werden muss ;-)
Forum: Programmieren allgemein
by Chewie,
10. Feb 2008
Wieso sollte das bei HTTP nicht realisierbar sein? Klar, interaktionslos geht es nicht, aber in zwei Schritten (1. Schritt: Laden einer Seite mit dem Challenge-Wert; 2. Schritt: Senden der Loginkennung und des Ergebnisses) sollte das doch problemlos möglich sein.
Aber natürlich löst das viele andere Probleme nicht, man würde zwar beim Login keine Passworte mehr im Klartext über die Leitung...
Forum: Programmieren allgemein
by Chewie,
7. Feb 2008
Sicherheitstechnisch sollte auch das doppelte Hashen einen Gewinn bringen. Denn dadurch hättest du die direkten Hashwerte der Passwörter auch nicht mehr vorliegen und verhinderst dadurch Attacken durch Rainbow-Tables. Als Nachteil bringt diese Variante zwar den erhöhten Rechenaufwand für die Verifikation, da zweimal gehahst werden muss, aber das sollte normalerweise zu vernachlässigen sein.
...