<?xml version="1.0" encoding="UTF-8"?><rss xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title><![CDATA[Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern?]]></title><description><![CDATA[<p>Wie schon im Titel steht: Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern?</p>
<p>Client:</p>
<ul>
<li>bekommt vom Server einen sha512-Hash von einer zufällig generierten Zahlenfolge zugesendet</li>
<li>hasht eingebenes Passwort mit sha512</li>
<li>hängt an das gehashte Passwort den Hash an, den er vom Server gekriegt hat</li>
<li>hasht das ganze nochmal und sendet es zum Server</li>
</ul>
<p>Server:<br />
Macht im Prinzip das Selbe, nur fällt das 1. Hashen weg, weil das Passwort schon gehasht in der Datenbank steht.</p>
<p>Ich denke, dass das ganze Verfahren schon ziemlich sicher ist. Selbst wenn jetzt jemand das Ding übers Netzwerk abfangen würde, könnte er nichts damit anfangen, weil da dieser zufällig generierte Hash mit drin steckt. Ich wollt nur mal wissen, ob ihr da irgendwo ne Sicherheitslücke entdeckt <img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f609.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--winking_face"
      title=";)"
      alt="😉"
    /> .</p>
]]></description><link>https://www.c-plusplus.net/forum/topic/178455/wie-sicher-ist-folgendes-verfahren-zur-verschlüsselten-übertragung-von-passwörtern</link><generator>RSS for Node</generator><lastBuildDate>Sat, 04 Jul 2026 22:04:44 GMT</lastBuildDate><atom:link href="https://www.c-plusplus.net/forum/topic/178455.rss" rel="self" type="application/rss+xml"/><pubDate>Wed, 11 Apr 2007 12:26:07 GMT</pubDate><ttl>60</ttl><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 12:26:07 GMT]]></title><description><![CDATA[<p>Wie schon im Titel steht: Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern?</p>
<p>Client:</p>
<ul>
<li>bekommt vom Server einen sha512-Hash von einer zufällig generierten Zahlenfolge zugesendet</li>
<li>hasht eingebenes Passwort mit sha512</li>
<li>hängt an das gehashte Passwort den Hash an, den er vom Server gekriegt hat</li>
<li>hasht das ganze nochmal und sendet es zum Server</li>
</ul>
<p>Server:<br />
Macht im Prinzip das Selbe, nur fällt das 1. Hashen weg, weil das Passwort schon gehasht in der Datenbank steht.</p>
<p>Ich denke, dass das ganze Verfahren schon ziemlich sicher ist. Selbst wenn jetzt jemand das Ding übers Netzwerk abfangen würde, könnte er nichts damit anfangen, weil da dieser zufällig generierte Hash mit drin steckt. Ich wollt nur mal wissen, ob ihr da irgendwo ne Sicherheitslücke entdeckt <img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f609.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--winking_face"
      title=";)"
      alt="😉"
    /> .</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1263791</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1263791</guid><dc:creator><![CDATA[Dr. C++]]></dc:creator><pubDate>Wed, 11 Apr 2007 12:26:07 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 13:19:31 GMT]]></title><description><![CDATA[<p>Das was du da vor hast, beschreibt im Großen und ganzen die Funktionsweise von HMAC (<a href="http://de.wikipedia.org/wiki/HMAC" rel="nofollow">http://de.wikipedia.org/wiki/HMAC</a>). Das ist sicher, solange der Hashalgorithmus unumkehrbar ist.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1263832</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1263832</guid><dc:creator><![CDATA[[[global:guest]]]]></dc:creator><pubDate>Wed, 11 Apr 2007 13:19:31 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 15:28:33 GMT]]></title><description><![CDATA[<p>Ich hoffe du glaubst mir, wenn ich dir sagen, dass ich mir das Verfahren, was ich hier beschrieben hab, selbst ausgedacht hab <img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f603.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--grinning_face_with_big_eyes"
      title=":D"
      alt="😃"
    /> . Und ich glaub sha512 ist schon sicher genug, oder?</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1263919</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1263919</guid><dc:creator><![CDATA[Dr. C++]]></dc:creator><pubDate>Wed, 11 Apr 2007 15:28:33 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 19:25:06 GMT]]></title><description><![CDATA[<p>Dr. C++ schrieb:</p>
<blockquote>
<p>Ich hoffe du glaubst mir, wenn ich dir sagen, dass ich mir das Verfahren, was ich hier beschrieben hab, selbst ausgedacht hab <img
      src="https://www.c-plusplus.net/forum/plugins/nodebb-plugin-emoji/emoji/emoji-one/1f603.png?v=ab1pehoraso"
      class="not-responsive emoji emoji-emoji-one emoji--grinning_face_with_big_eyes"
      title=":D"
      alt="😃"
    /> . Und ich glaub sha512 ist schon sicher genug, oder?</p>
</blockquote>
<p>Ich weis zwar nicht, wofür du die Authentifizierung einsetzen willst, aber im Allgemeinen sollte SHA512 mahr als ausreichen.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1264144</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1264144</guid><dc:creator><![CDATA[[[global:guest]]]]></dc:creator><pubDate>Wed, 11 Apr 2007 19:25:06 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 21:18:20 GMT]]></title><description><![CDATA[<p>@Dr. C++:<br />
es sollte sogar MD5 sicher genug sein...</p>
<p>Der grosse Vorteil der Methode ist ja dass ein potentieller Angreifer nur testen kann ob ein Passwort stimmt indem er es mit dem Server ausprobiert, und der Server kann nach X falschen Versuchen leicht weitere Versuche verzögern oder den Account ganz sperren.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1264212</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1264212</guid><dc:creator><![CDATA[hustbaer]]></dc:creator><pubDate>Wed, 11 Apr 2007 21:18:20 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 22:32:48 GMT]]></title><description><![CDATA[<p>Solange man nicht an die Hashs kommt, ist MD5 hier bestimmt auch tauglich.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1264249</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1264249</guid><dc:creator><![CDATA[Brutus]]></dc:creator><pubDate>Wed, 11 Apr 2007 22:32:48 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 22:44:25 GMT]]></title><description><![CDATA[<p>Dr. C++ schrieb:</p>
<blockquote>
<p>... ob ihr da irgendwo ne Sicherheitslücke entdeckt ...</p>
</blockquote>
<p>Die übliche immer : Wie gelangt der Hash des Passwortes in die Datenbank des Servers ?</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1264256</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1264256</guid><dc:creator><![CDATA[[[global:guest]]]]></dc:creator><pubDate>Wed, 11 Apr 2007 22:44:25 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 23:00:43 GMT]]></title><description><![CDATA[<p>Ihr tut grad so als ob man jeden Tag mal eben so bei MD5 den Hash zurückberechnen könnte..</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1264261</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1264261</guid><dc:creator><![CDATA[Klugscheiß0r]]></dc:creator><pubDate>Wed, 11 Apr 2007 23:00:43 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Wed, 11 Apr 2007 23:01:52 GMT]]></title><description><![CDATA[<p>@Dr. C++ es ist ganz normal, dass Leute unabhängig voneinander auf ähnliche Lösungen für ein gegebenes Problem kommen.</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1264262</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1264262</guid><dc:creator><![CDATA[Klugscheiß0r]]></dc:creator><pubDate>Wed, 11 Apr 2007 23:01:52 GMT</pubDate></item><item><title><![CDATA[Reply to Wie sicher ist folgendes Verfahren zur verschlüsselten Übertragung von Passwörtern? on Thu, 12 Apr 2007 05:20:55 GMT]]></title><description><![CDATA[<p>Klugscheiß0r schrieb:</p>
<blockquote>
<p>Ihr tut grad so als ob man jeden Tag mal eben so bei MD5 den Hash zurückberechnen könnte..</p>
</blockquote>
<p>Nein tut keiner. Man braucht ja nicht das original Passwort, sondern nur den Hash an den Server schicken. Für die Authentifizierung reicht das aus, wenn man einmal den original Hash mitgeschnitten hat. Dass das Passwort gehasht wird ist nur dafür da, dass man das original Passwort nich im klaartext lesen kann, aber bringt für die Authentifizierung kein mehr an Sicherheit. Also ist das Problem tatsächlich, dass der Hash irgendwie auf den Server kommen muss. Das könnte man natürlich über eine per SSL gesicherte Verbindung machen, z.B. die Account auf deinem Webserver mit SSL anlegen lassen...</p>
]]></description><link>https://www.c-plusplus.net/forum/post/1264309</link><guid isPermaLink="true">https://www.c-plusplus.net/forum/post/1264309</guid><dc:creator><![CDATA[[[global:guest]]]]></dc:creator><pubDate>Thu, 12 Apr 2007 05:20:55 GMT</pubDate></item></channel></rss>