Ankündigung

Einklappen
Keine Ankündigung bisher.

Passwort sicher übertragen

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Passwort sicher übertragen

    Hallo zusammen

    Ich habe mal ne Sicherheitsfrage: Wie kann ich das Passwort sicher übertragen, so dass es unterwegs nicht einfach so eingesehen wird. Wenn ich ein md5 oder hash mache und dann POST und DB vergleiche, kann ja trotzdem noch jemand das pw abfangen und dann einfach den hash/md5 mit der db vergleichen und hat das pw geknackt.
    Beste Lösung wäre sicher ssl, aber das bieten nicht alles Server bzw. kostet meistens extra.
    Gibt es eine andere Methode mit der ich ein pw auf dem client verschlüsseln und auf dem server wieder entschlüsseln kann, so dass ich aber merke, wenn jemand das pw eingesehen bzw. das login POST verfälscht oder falsch eingespiesen hat?

    Hat jemand eine Idee?

    mfG Benks

  • #2
    Erstmal eine Rückfrage.
    Zitat von majorbenks Beitrag anzeigen
    Beste Lösung wäre sicher ssl, aber das bieten nicht alles Server bzw. kostet meistens extra.
    Die Sicherheit der Daten kann eventuell auf "billigen" Servern auch auf andere Art gefährdet sein. Und wenn jemand die Übertragung des Passworts abfangen kann, gilt das dann nicht auch für die (weiterhin unverschlüsselten) Folgeseiten? Wie sicher müssen die Daten sein und wie wenig bist Du bereit zu investieren?

    Kommentar


    • #3
      Bei fast jedem Anbieter gibt es entweder "serienmäßig" oder zum günstigen Aufpreis SSL. Ich denke das ist momentan der einzig Sichere Weg

      Kommentar


      • #4
        vielleicht noch sowas hier, wenn du vorraussetzen kannst das JavaScript aktiviert ist MD5-Hashing mit JavaScript

        hat natürlich die schwachstelle, das der client net kompromittiert sein darf.

        Kommentar


        • #5
          Dafür muss aber entweder das Passwort im Klartext* auf dem Server gespeichert sein, damit der Server immer wieder neue Challenges erstellen kann, zum Beispiel md5(random_salt+password). Oder es bringt kaum Sicherheit, da ein abgefangener md5 Hash fast genauso "wertvoll" ist, wie das Klartextpasswort - man kann sich damit immer wieder anmelden.

          *) Da kann man ein bisschen was dran ändern. Aber nicht substantiell.

          Kommentar


          • #6
            @David: Stimmt, die Folgeseiten wären ja auch einsehbar. Somit bringt das verschlüsseln des Pws gar nichts oder nur wenig. Es führt also kein Weg an ssl vorbei.

            Danke für eure Anregungen

            Kommentar


            • #7
              Hi,

              100% Sicherheit wirst du eh nicht bekommen. Selbst mit SSL hast du den nicht. Aber Ziel sollte es auch immer sein, die Risiken auf ein tragbares Minimum zu senken und manchmal überschätzen auch Leute den Wert ihrer Daten. xD

              Gruß Thomas

              Kommentar


              • #8
                Zitat von Thomas Beitrag anzeigen
                und manchmal überschätzen auch Leute den Wert ihrer Daten. xD
                Das auf jeden Fall.

                Wenn man seine eigene Site schützen will, ist nur das gesicherte Übertragen des Passworts meistens unzureichend. Aber oft haben Benutzer nur ein oder zwei verschiedene Passwörter (meiner Erfahrung nach), die sie überall verwenden. Man kann versuchen, den Wert des abgefangen Passwort zu verringern, so dass wenigstens andere Sites nicht kompromittiert werden, wenn man selbst irgendwo ein Leck hat.

                Kommentar


                • #9
                  Hi David,

                  Da stimme ich dir zu. Man sollte für alles ein anderes Passwort benutzen, außer vielleicht bei Foren, aber das hängt dann auch wieder davon ab, wie wichtig und aktiv man in den Foren ist. Wäre blöd, wenn man das Userpasswort in einem Forum gleich dem Adminpasswort im eigenen Forum setzt. xD

                  Gruß Thomas

                  Kommentar

                  Lädt...
                  X