Zitat von
Thanatos81:
Ich bevorzuge eigentlich Hashes (MD5/SHA), da es dann nahezu unmöglich ist, dass jemand das Original-PW zurückrechnet. Viele Benutzer nutzen leider ja ein PW für alles. Ich sehe die Verwendung eines Hashes zur Authentifizierubng gegenüber der Verwendung einer verschlüsselten Verbindung/einer verschlüsselten Datenablage eher als Schutz des Anwenders vor sich selbst
Dem stimme ich zu, mit dem Zusatz, dass du nach Möglichkeit einen modifizierten Hash-Algorithmus verwenden solltest, da für Standardverfahren Möglichkeiten bestehen, sehr schnell vom Hash auf das Passwort zu schließen. (siehe z.B.
http://www.milw0rm.com/md5/list.php)
Andererseits schützt so ein Hash wirklich nur den Benutzer vor dem Serverbetreiber, oder bei kompromittierten Login-Datenbanken. Daher empfiehlt es sich, wie Thantanos schon gesagt hat, eine Verschlüsselung zu verwenden, wobei die Schlüssel (Zertifikate) unbedingt vor den Transaktionen über ein "sicheres" Medium (z.B PGP/GPG verschlüsselte Mails) verteilt werden müssen.
Dani H.
At Least I Can Say I Tried