Hallo Malcolm,

Es ist doch gehashed, sowohl die Userid ist verfremdet, als auch das Passwort, was will ein Hacker mit den Daten anfangen?

MD5 weisst signifikante Schwachstellen in Form von Kollisionen auf. Man braucht das Passwort gar nicht, der MD5-Hash lässt sich „errechnen.“

Allgemein ist es nicht ratsam, den Passwort-Hash aus der Hand zu geben, denn selbst wenn gerade der Algorithmus noch als sicher gilt - was ist in zwei Jahren? Es hat seinen Grund, dass das Passwort das Geheimnis in der Gleichung ist.

Ich brauche einfach nur ein Easy-to-Use-Loginscript, dass ich schnell und einfach implementieren kann, das aber halbwegs sicher ist.

Nutze die Hashing-Funktionen, die PHP zur Verfügung stellt. Gib die Passwort-Daten nicht auf den User-Rechner, auch nicht gehasht. Nutze HTTPS (z.B. mit Let's Encrypt) und enforce das auch. Damit solltest du auf der sicheren Seite sein.

LG,
CK