Hallo,

Hallo,

ja berechnen trifft es nicht ganz. Man kann über ein vorgefertigtes Wörterbuch einem Brute-Force-Attack oder aus einer Mischung von beiden eine möglichen Schlüssel erhalten. Er kann nicht direkt berechnet werden. Ob man den Salt kennt oder nicht, mach natürlich nur aufgrund der Länge einen Unterschied. Kurze Passwörter sind sehr anfällig für Brute-Force-Attacks.

Ich hab mich nie sehr damit beschäftigt. Ich weis nur das es sehr aufwändig ist.

Da hast du natürlich recht, dass hätte ich schon bei der bisherigen Diskussion einbringen sollen. Demnach wäre das Hashen von Passwörtern sogar komplett sinnlos, da es nur erfolgt, wenn der Angreifer die Seite nicht manipulieren kann. Wenn er in der Lage ist Pakete mitzulesen, müsste er sie eigentlich auch ohne einen erheblichen Mehraufwand verändern können. Ich kenne mich ehrlich gesagt in der praktischen Durchführung eines Angriffes nicht mehr gut genug aus, um den Mehraufwand beurteilen zu können. Theoretisch ist es aber definitiv möglich.

Für mich gibt es eigentlich nur zwei sinnvolle Lösungen: Entweder das Passwort im Klartext versenden oder TLS einzusetzen. Dabei gehe ich davon aus, das es nicht jedem möglich ist, einfach mal den Traffic eines Benutzers abzuhorchen oder zu manipulieren. Man müsste wahrscheinlich in das lokale Netz des Benutzers oder direkt in seinen Rechner eindringen oder irgendwie einen Namensserver manipulieren, sodass sich der Angreifer dazwischen schalten kann. Diesen Aufwand macht man sich wahrscheinlich keiner, wenn es sich nicht lohnt. Den normalen Anwender und auch viele Personen mit Erfahrung im Programmieren, sollte man jedoch von einem Angriff abhalten können. Jetzt könnte man natürlich argumentieren, dass professionelle Angreifer erfolgreich sein würde, jedoch könnte man diese auch nicht durch irgendwelche Javascript-Lösungen beeindrucken. Auch die vermeidliche Sicherheit durch Hashen könnten diese aushebeln, indem sie Seiten manipulieren. Wenn man also solche Angriffe für möglich hält und nach Abwägung von Kosten und Nutzen bereit ist sich dafür ein Zertifikat zu kaufen, dann sollte man dies tun. Alle andere Lösungen sind jedoch quatsch. Entweder alles oder nichts. Das ist meine persönliche Meinung.

Unterschätze nicht den Gewinn, wenn du einigen Tausend Usern eine falsche Loginseite zu einem MMO wie z.b. WOW unter jubeln kannst um danach deren Account zu plündern. Allerdings weis ich nicht, wie man mehreren effektiv einen falschen DNS Server unter jubeln möchte, da sind Trojaner und Sniffer vermutlich leichter.

Das Problem an den Zertifikaten ist leider das die nicht billig sind und irgendwo versteh ich nicht, warum dieses Verschlüsselungssystem solch hohe Kosten voraussetzt. Gerade selbstlose oder private Projekte fahren am Anfang nicht genug ein für so etwas, selbst wenn das Projekt eine Verschlüsselung rechtfertigt.

Viele Grüße Novi