Foermchen82
Mitglied
Hallo zusammen.
Ich mach mir grad gedanken über die Verschlüsselung und Speicherung von Passwörtern.
So weit bin ich zu Zeit:
1. MD5 und SHA-1 sind zwar weit verbreitet, aber auch nicht mehr zeitgemäß da bereits geknackt.
2. ein höherer SHA- Algorythmus ist besser, wie Z.B. SHA-256
3. Sahlted Hashes erhöhen die sicherheit.
Aber ich habe noch viele Fragen:
In der Datenbank speichert man ja nun den Benutzernamen, den SHA-256 salted hash und den Salt.
Was wird aber nun bei der Komunikation zwischen Client und Server übertragen Das Passwort in Klartext(sicher nicht), der PW-Hash? oder der Salted-PW-Hash
Die Prüfung des Passwortes erfolgt sicher auf dem Server, und nur der Sollte ja auch den Algorithmus kennen. also wo Verschlüssele ich nun was, und was übertrage ich
Danke im voraus
Ich mach mir grad gedanken über die Verschlüsselung und Speicherung von Passwörtern.
So weit bin ich zu Zeit:
1. MD5 und SHA-1 sind zwar weit verbreitet, aber auch nicht mehr zeitgemäß da bereits geknackt.
2. ein höherer SHA- Algorythmus ist besser, wie Z.B. SHA-256
3. Sahlted Hashes erhöhen die sicherheit.
Aber ich habe noch viele Fragen:
In der Datenbank speichert man ja nun den Benutzernamen, den SHA-256 salted hash und den Salt.
Was wird aber nun bei der Komunikation zwischen Client und Server übertragen Das Passwort in Klartext(sicher nicht), der PW-Hash? oder der Salted-PW-Hash
Die Prüfung des Passwortes erfolgt sicher auf dem Server, und nur der Sollte ja auch den Algorithmus kennen. also wo Verschlüssele ich nun was, und was übertrage ich
Danke im voraus