Hi,

Gegenargument, er erlangt dann eben Zugriff per Pruefsumme.

und was hat er von der?

nun, der Angriff muesste dann zugegebenermassen naeher am System erfolgen, das ist richtig. Allerdings wenn der Angriff schon auf die Passwoerter bzw. Hashes der Benutzerdatenhaltung vorgedrungen ist, dann duerfte m.E. das Machbarkeitsargument bereits nachrangig geworden sein.

Ich tische jetzt mal meine (lustigere) Theorie auf, warum Passwoerter wirklich als Pruefsumme gespeichert werden:
Hat es aufgrund allegemeiner Inkompetenz oder aus "Gruenden fehlenden Gluecks" einen erfolgreichen Angriff gegeben, waere nichts fuer die verantwortlichen IT-Leute toedlicher (im sozialen Sinne des Erhalt des Arbeitsverhaeltnisses / der Partnerschaft) als die Publikation von Nutzernamen und Kennwoertern ("Vorstandsvorsitzender 'Harry Ackermann' mit Password 'victory' z.B.), waehrend der Verlust der Hashes laessig mit einem einfachen mea culpa (inkl. einer kleinen Aufforderung an die "Allgemeinheit" das Kennwort zu aendern) bearbeitet werden koennte. Der Vorfall ja moeglicherweise nicht einmal richtig verstanden werden wuerde von den Ochsen in der Geschaeftsfuehrung.

Und warum erzaehle ich diese kleine Geschichte? Weil ich bereits mehrfachst - wenn es um Sicherheit und so geht - dumme und duemmste Argumentationen vernehmen durfte. Nicht nur hier natuerlich.

BTW - habe ich recht?

Gruss,
Ludger