Sinn von Hashwert?

C

campari

Erfahrenes Mitglied
Moin,

hab mich bei meinem Loginsystem voller Bedenken auf Javascript eingelassen und lass das Passwort clientseitig in Sha1-Wert hashen. Ich dachte, das macht Sinn, damit man nicht das Passwort sondern nur den gehashten Wert sniffen kann. Aber nu les ich, dass man nur innerhalb von einem internen Netz mitlesen kann. Also ich denk mal, das ist doch vernachlässigbar, weil die meisten gehn eh über den eigenen Router ins Netz. Die Rechnung 98% Router-Nutzer gegen Javascript geht da nich auf finde ich!
Und jetzt versteh ich auch net, warum überhaupt Werte gehasht werden, zumal fast immer mit PHP. Da wird doch jedesmal das PW im Klartext gesendet, bevor es gehasht wird, also doch ist doch komplett sinnfrei. Gut, es steht nicht klar und deutlich in der DB, aber auf die hat ja eh nur der Admin Zugriff.
Mir ist dat grad im Dunkeln, wozu der ganze Senf mit Wert hashen?
Einzig Sinn macht doch nur ne verschlüsselte Leitung, alles andere macht zumindest ausserhalb von internen Netzwerken keinen Sinn. Oder seh ich das falsch?

Grüsse
campari
 
Im Grunde hast Du schon recht.
Es ist nicht sicher, dass Passwort im Klartext zum Server zu schicken und es dann dort zu hashen.
Die einzige Sicherheit die das Speichern eines Hashwertes bietet ist, dass ein User der sich Zugriff auf die Datenbank verschafft nicht gleich die Passwoerter alles User, insbesondere des/der Admins, bekommt.

Wenn es sich also um wirklich wichtige Daten handelt sollte die Verbindung verschluesselt sein. Aber auch dann sollte man die Passwoerter gehasht oder verschluesselt speichern.
Fuer alles andere, wie private Homepages oder auch dieses Forum, ist es wohl sicher genug, da sich wohl kaum jemand fuer ein solch "wertloses" Passwort interessiert.
 
Hash-Werte dienen neben der Speicherung von sensiblen Daten auch zur Sicherstellung der Integrität von Daten. So kann etwa anhand der Hash-Werte schnell ermittelt werden, ob eine Kopie exakt dem Original entspricht.
 
Dennis Wronka hat gesagt.:
Es ist nicht sicher, dass Passwort im Klartext zum Server zu schicken und es dann dort zu hashen.
Zum Vergrößern anklicken....

Aber da es eh nicht möglich ist ausserhalb von internen Netwerten den Netzwerkverkehr abzuhören, ist es egal, ob das PW so, oder gehasht übertragen wird. Der einzige Sinn liegt darin, wie Du sagst, dass eine "gehackte" DB nicht alle Passwörter preisgibt. Aber ansonsten ist der ganze Kram mit Hash-Werten in Bezug auf Passwörter doch vollkommer Müll. Meine DB hat einen 23-stelligen Buchstaben/Zahlen-Zugangscode, also wayne?
 
Ich mag mich täuschen, aber wenn PHP auf dem Server aus irgendwelchen Gründen mal ausfällt, sieht der Benutzer die Passwörter für die dB so oder so im Klartext ...


Gruß
.
 
Der einzige Sinn liegt darin, wie Du sagst, dass eine "gehackte" DB nicht alle Passwörter preisgibt. Aber ansonsten ist der ganze Kram mit Hash-Werten in Bezug auf Passwörter doch vollkommer Müll. Meine DB hat einen 23-stelligen Buchstaben/Zahlen-Zugangscode, also wayne?
Zum Vergrößern anklicken....
Passwort ist nicht die einzigste Möglichkeit eine DB zu hacken, oder sowas.

Reicht ja manchmal schon, wenn ein Eingabefeld ungesichert ist, oder man sich über sonstige Lücken mehr Daten aus der Datenbank auslesen kann, als vorgesehen.
Sagen wir mal so .. Es schadet nicht ;)

Edit:
Ich mag mich täuschen, aber wenn PHP auf dem Server aus irgendwelchen Gründen mal ausfällt, sieht der Benutzer die Passwörter für die dB so oder so im Klartext ...
Zum Vergrößern anklicken....
hä? Selbst wenn, woher soll die DB die Passwörter im Klartext haben?
Du täuscht sich wohl eher ... ;)
 
Da mit Sicherheit nicht jeder User für jedes Forum, in dem er angemeldet ist, jede Freemail-Adresse, die er sich zulegt oder andere Accounts im Internet ein eigenes Passwort hat, sondern entgegen aller Ratschläge die Passwörter mehrfach verwendet, sollte auch der Admin einer Seite nicht unbedingt das Passwort der Nutzer im Klartext in der DB sehen.
Dass die Passwörter nur als Hash gespeichert werden, kann der User zwar nicht kontrollieren, aber für den Admin ist das ein Trick 17 mit Selbstüberlistung: Und führe uns nicht in Versuchung, ...

Gruß hpvw
 
Es ist eine Frage des Datenschutzes und des Respekts Passwörter nicht als Klartext zu speichern. Denn gerade Passwörter sind Informationen, die ein Benutzer nicht gerne preisgibt.
 
Datic hat gesagt.:
Ich meinte das Datenbankpasswort, nicht die Passes in der dB ...
.
Zum Vergrößern anklicken....
Ach so, sorry ;)
Hm das könnte sein, wobei ich das aber noch nie erlebt habe und somit nicht weiß, ob das überhaupt passieren kann (ohne PHP gewaltsam zu stoppen^^), oder man dann den Code sehn kann.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück