Hi,

weiter unten wird unter https://forum.selfhtml.org/?t=120293&m=772279 über das Verschlüsseln von Passwörtern diskutiert.

Wenn ich ein Passwort mit dem in der DB abgelegten Hash vergleiche, MUSS das PW zwangsweise über die Leitung gehen. Richtig?

Und DAS ist doch das Sicherheitsrisiko.

Ich stelle mir etwas anderes vor.
Du und ich wissen, dass mein Passwort "123456" ist.

Bei meiner Anmeldung sagst du mir per Zufallsgenerator:
"Gib mir das Produkt aus der 1., 2. und 6. Zahl"
Ich gebe dir 12 und du weisst, dass ich der RICHTIGE bin.

Kein Lauscher kann damit etwas anfangen, denn beim nächsten Mal sagst du mir:
"Die Summe aus Ziffer 3 und 4, abzüglich Ziffer 1"
Ich antworte 6 und bin DRIN.

Eure Meinung dazu interessiert mich.

Lieben Gruß, Kalle