Tach,

Und das Passwort liegt nicht im Klartext bei Mega vor, sondern nur als nicht reversibler Hash (das will ich zumindest hoffen – das wäre sonst ein echter Anfängerfehler).

das ist im Prinzip auch der nie auszuschließende Angriffsvektor für die Zukunft, wo man dem Anbieter vertrauen muss: Selbst wenn Mega alles korrekt implementiert hat und alles so funktioniert, wie CK beschreibt, können sie im Prinzip bei jedem Login, ohne dass es der User bemerken kann, statt dem Hash das Passwort direkt übertragen und haben dann Zugriff auf die Daten.

mfg
Woodfighter