Hallo!

ich dachte immer, dass md5() so unsicher wäre? Nimmt ja nicht alle Bits. Wie funktioniert denn da der gute alte crypt-Befehl?

letzterer mit TripleDES; ersterer mit md5-checksum :-)
Klar, mit md5 wird jeder String in einen "Wertebereich" mit 2^32 Möglichkeiten abgebildet;

Na wie kommst Du denn da drauf? Das hieße ja ein 32 Zeichen langer String mit jeweils nur 2 verschiedenen Zeichen. Ich habe mal gedacht das sein einfach ein 32 Zeichen langer string mit 36 Zeichen[a-z0-9], also 36^32, aber das war wohl zu optimistisch gerechnet, da es sich bei md5 tatsächlich um eine Summe handelt, und zwar als hexadezimalzahl, was wohl auf einen 2^128 String schließen läßt, siehe http://forum.de.selfhtml.org/archiv/2002/9/23580/#m130655

anders crypt, dort ist der Wertebereich genausogross, wie der Definitionsbereich (also die Menge aller unkodierten Passwörter). Aber unsicher ist das net umbedingt.

Naja, meines Wissens werden normalerweise(geht auch anders) nur die ersten 8 Zeichen eines crypt-Passwortes verwertet, also nicht wirklich gut!

Außerdem könnte man sich auch einen eigenen Algo ausdenken, der dann bestimmt auch nicht unsicherer wäre.

Möglich.

...aber nicht für jeden, und nach einem guten Cryptographen hört sich das hier nicht gerade an, kein Vorwurf, ich bin auch keiner, aber ich denke solange man davon wenig Ahnung hat sollte man doch lieber auf alt bewährtes zurückgreifen.

Sollte man aus den Seiten nicht shttp-Seiten machen?

Hm. Ist natürlich immer gut, aber wenn das Einloggen nicht sicher ist, bringt auch die shttp Seite nix.

was ist shttp? Meint Ihr https(SSL)? Oder shtml? SSL ist das non-plus-ultra, ohne bringt dir der beste Passwortschutz nicht da das Passwort so im Klartext vom Browser zum Server übertragen wird.

Viele Grüße
Andreas