Hallo,

Nur das ein reines Captcha nicht auch das Passwort schützt. Es sollte neben den Schutz vor Replay Angriffen auch dafür sorgen, das das Passwort des Nutzers nicht so leicht ermittelbar (Rückrechenbar) ist bzw der Hash sich nicht einfach für andere Seite verwenden lässt.

Ein normaler Salt würde dafür auch reichen. Er kann ruhig bekannt sein, da dies dem Angreifer beim Ermitteln eines möglichen Passwortes nicht helfen sollte.

Aber deiner Aussage entnehme ich, das die Schutzmaßnahme den Mehraufwand des Nutzers nicht rechtfertigt?

Ja der höhere Aufwand für den Angreifer, bedeutet in diesem Fall gleichzeitig ein höheren Aufwand für den normalen Benutzer. Der Einsatz von Captchas erschwert nur rein automatisierte Angriffe, macht sie aber längst nicht unmöglich. Captchas können häufig doch von Programmen gelesen werden. Ansonsten gibt es auch noch andere Möglichkeiten Captchas zu umgehen, indem man sie zum Beispiel von anderen Personen auf einer anderen Website lösen lässt. Der Angreifer fängt also ein Captcha ab und lässt dieses einfach von einem Benutzer auf der eigenen Website lösen. Des Weiteren könnte der Angreifer die Webseite mit den Login-Feldern so manipulieren, dass der Browser des Benutzers die Lösung des Captchas halt doch mitsendet. (Es läuft ja alles über HTTP ab.)

Viele Grüße Novi