Glaubst du wirklich jemals hat jemand ein Onlinebanking-Passwort erraten? Nach wie vielen Versuchen wird das Passwort gesperrt?breakthewall hat geschrieben:Und bis auf SSH, VPN, Onlinebanking, Onlineshopping und Vergleichbares ...
Soweit mir bekannt wird mit jeder Passworteingabe das Passwort irgendwo hin übertragen. Wo sollte der Unterschied zu einer Passwortänderung sein? Natürlich könnte man die Hash-Werte auch bereits auf dem Client erzeugen.breakthewall hat geschrieben:Allerdings sehe ich stetige Passwortänderungen eher kritisch, weil jede Änderung wieder eine Möglichkeit eröffnet, dass neue Passwort abzugreifen.
Mit der Firefox-Netzwerkanalyse (Entwicklerwerkzeuge) kann man schön sehen, dass die Formulardaten (Benutzer/Passwort) im Debianforum direkt als POST-Parameter übertragen werden. Eine clientseitige Vorabberechnung von Hash-Werten wäre wohl nur mit Javascript möglich. Wird der Debianserver gehackt ist auch das beste Passwort mit der Anmeldung abgegriffen. Wobei auch der Hash-Wert dann nicht hilft ... evtl. in Verbindung mit einem Session-Key. Gilt bestimmt auch für viele andere Webanwendungen. Die Komplexität des Passwortes hilft nur wenig.