Hi,

Wenn ich ein Passwort mit dem in der DB abgelegten Hash vergleiche, MUSS das PW zwangsweise über die Leitung gehen. Richtig?

wenn ein Client einem Server einen Wert schickt, der beim Server der Definition von "Passwort" entspricht, muss dieser Wert zunächst zum Server übertragen werden, ja.

Und DAS ist doch das Sicherheitsrisiko.

Es existieren Techniken zur Verschlüsselung der Übertragung. Eine davon ist SSL.

"Gib mir das Produkt aus der 1., 2. und 6. Zahl"
Ich gebe dir 12 und du weisst, dass ich der RICHTIGE bin.
"Die Summe aus Ziffer 3 und 4, abzüglich Ziffer 1"
Ich antworte 6 und bin DRIN.

Das Passwort lautet also 345421. Schade eigentlich. Übrigens sind Passwörter, die aus einem Vorrat von nur zehn Zeichen aufgebaut sind, um ein Vielfaches unsicherer als solche, die z.B. 62 verschiedene Zeichen erlauben.

Eure Meinung dazu interessiert mich.

Hübscher Holzweg.

Cheatah