Hi,
Dein ANsatz zur Erhöhung der Passwortsicherheit durch Klartextspeicherung ist verfehlt, nicht nur weil Du einen weiteren Angriffspunkt inszenierst.
nun, speichert man das Password nicht, dann kann man aber im Nachhinein die Qualitaet der gespeicherten Passwoerter nicht ueberpruefen. Und das ist schlecht. Es scheint mir so zu sein, dass es keine ideale Loesung (diese waere: kein zus. Angriffspotential, aber dennoch die Moeglichkeit "ex post" die Password-Qualitaet zu ueberpruefen) gibt?!
Der Zugriff auf sämtliche Passwörter würde zusätzlich auch die klare Identifikation aller Aktivitäten auf dem Server in Zweifel ziehen.
Fuer solche Aussagen "liebe" ich Dich! :-(
Aber es ist doch interessant, dass man entweder das Password im Klartext speichern muss bzw. auf die Moeglichkeit der Ueberpruefung der Qualitaet des Passwords verzichten muss.
http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/
Christian hat in seinem Artikel sehr schön ausgeführt, welche Qualitätmerkmale es für Passwörter gibt. Ein großer Teil dieser Merkmale hat rein mathematische Qualitäten, natürlich erhöht sich die Zahl der Möglichkeiten drastisch, je mehr Zeichenbereiche ich verwende:
nur Kleinbuchstaben des englischen Alphabets -> Klein- und Großbuchstaben -> plus Zahlen -> plus Sonderzeichen (falls möglich)
Alles richtig.
Dass dies der Fall ist, braucht man nicht immer neu zu erproben. Dass es dennoch einen subjektiven Faktor gibt, ist ebenfalls klar. Solche Nummern wie die, Buchstaben seines Namens zum Teil durch "ähnliche" Zahlen zu ersetzen, dürfte wenig erfolgversprechend sein...
Wiederum sehr gut herausgearbeitet.
Gruss,
Ludger