Hallo,

alle die Ansätze die ich bis jetzt gelesen sind meiner Meinung nach unsicher. Das darf man aber nicht falsch verstehen. wenn es um unkritische Daten geht, macht sich wohl keiner die Mühe die Passwörter zu knacken, oder dein Verschlüsselungsalg. herauszufinden. Aber egal wie man ran geht, die Passwörter auf dem gleichen Rechner zu speichern (oder über Netzpfad, das ist in diesem Fall irrelevant), als auf dem gearbeitet wird ist immer eine kritische Sache, da ja der ganze Verschlüsselungsalg. auf dem Clientrechner abläuft. Die Anwendung kann man theoretisch hacken und nachvollziehen, was passiert. Ist zwar bei Einwegverschlüsselung wie MD5 noch relativ unkritisch, solls aber in beide Richtungen funzen, so kann relativ einfach sämtliche Passwörter der Benutzer herausgefunden werden.

Als einzige wirklich brauchbare Lösung, geht nichts um eine Zwischenanwendung oder Dienst rum, der die ganze Passwortkennung identifiziert. Somit läuft das Ganze auf einem 2. Rechner ab, und diesen kann man beliebig schützen, damit die Netznutzer da nicht ran können. Das ist zwar aufwendiger, aber die Mühe wert, wenn es um sensible Daten geht.

Gruß,
Tom