Hi,
sorry aber irgendwas versteh ich doch jetzt falsch, wenn jmd aus der
DB den gespeicherten Hash auslesen kann (sonst kann man schlecht das PW aus den Rainbow Tables auslesen), dann hab ich doch eh schon ganz andere Probleme!
Ich meine ist ja schön und gut für die Theorie, aber es wird ja hier schließlich auf einem fremden, entfernten Rechner der Hash des PW auf Gleichheit mit dem gespeicherten geprüft.
Tauchen dabei Sicherheitslücken in der
DB auf, so hat man natürlich den Vorteil, dass hier nur Hashes bekannt werden und mit Rechtzeitigem erkennen des Angriffs / auslesen der Hashes hat man dann reagieren.
Zitat von
Meflin:
Desweiteren ist der Artikel Heise-typsich: man verstecke eine einigermaßen potentiell-tolle Nachricht unter einer reiserischen Überschrift und kläre dann im Artikel dass es eigentlich garnicht so schlimm sei...
Na ja, so Heise-typisch ist das finde ich nicht. Das nennt man zurzeit wohl Journalismus. Da findet man doch häufig reisserische Überschriften mit wenig hinter, aber gerade wenn es um Sicherheit geht finde ich haben die alles richtig gemacht. Das sichert zu, dass Leute das Lesen und wenn man in Nachrichten schon Teile austauschen kann, sollte man ruhig schon mal über mögliche Probleme und Alternativen zu den Verfahren nachdenken. Ich glaube es gibt Leute, die werden nicht all zu publik machen, dass sie einen Weg haben um ein Sicherungsverfahren zu umgehen.
Gruß Der Unwissende