Doch, ich habe für jeden Login ein anderes Passwort. Dafür gibt es ja Passwort-Manager.
Dein Argument relativiert sich:
1. Gibt es Rainbow-Tables für alle gängigen Hashing-Verfahren, die ziemlich vollständig sind.
2. Ist client-seitiges Hashen das falsche Verfahren. Dafür gibt es SSL. Wenn ich mich dazwischen setzen kann, also HTTP-Requests lesen, dann kann ich diese auch modifizieren. Du glaubst nicht, wie easy das ist ohne SSL. Und dann kann ich einen KeyLogger schreiben, der mir die Passwörter zusendet.
Dein Argument relativiert sich:
1. Gibt es Rainbow-Tables für alle gängigen Hashing-Verfahren, die ziemlich vollständig sind.
2. Ist client-seitiges Hashen das falsche Verfahren. Dafür gibt es SSL. Wenn ich mich dazwischen setzen kann, also HTTP-Requests lesen, dann kann ich diese auch modifizieren. Du glaubst nicht, wie easy das ist ohne SSL. Und dann kann ich einen KeyLogger schreiben, der mir die Passwörter zusendet.
Kommentar