Liebe Mitlesende,

meine Logik versagt gerade. Daher bitte ich um Hilfe.

Auf einer Website sollen Passwörter zu Benutzernamen gespeichert werden. Das tut man nicht im Klartext, das gehört sich nämlich nicht, sondern erzeugt unumkehrbare Hashes (in meinem Fall mit der PHP-Funktion password_hash()). Soweit noch klar.

BULLSHIT !!! Passwörter gehören im Klartext in der Datenbank gespeichert. Begründung Seite 317 bis 318 im Kapitel Passwörter sicher speichern und übertragen im Postfix Buch von Peer Heinlein.

Nun möchte ich einen String so verschlüsseln, dass ihn der User mit seinem Klartext-Passwort wieder entschlüsseln kann. Wie mache ich das, wenn ich das Klartext-Passwort nicht habe, sondern nur einen unumkehrbaren Hash? Ist das überhaupt möglich, oder muss ich einen anderen Weg finden?

Zum Hintergrund: Ich experimentiere mit Möglichkeiten des "sicheren Datenaustauschs" über ungesicherte Verbindungen.

Sieh dir CRAM-Verfahren (Challenge Response Authentication Method) an.