Passwort Kennwort Login?
wenn ich ein Passwort als Zugang zu einer Web-Seite eingebe, dann muss dieses Passwort ja dort als Eingangs-Berechtigung bekannt sein. Das heisst, dass dieses Passwort dort auch irgendwo abgespeichert sein muss. Wie ist es nun gewährleistet, dass ausser mir kein anderter Mensch (oder keine Maschine?) dieses Passwort kennt oder kennen kann? Wie funktioniert diese "Sicherheit", die womöglich gar nicht so sicher ist? Der Betreiber einer Passwort-geschützten Homepage muss ja irgendwie ein Tool haben, mit dem der User sich einloggen kann, auch ohne dass der Betreiber das Passwort kennt (bzw. kennen darf?) Wie kann das überhaupt funktionieren?
3 Antworten
Dort ist das Passwort NICHT gespeichert, sondern ein Hash, welcher aus dem Passwort berechnet wurde. Umgekehrt ist die Berechnung nicht möglich. Gibst Du Dein Passwort ein, wird der Hash berechnet und mit dem gespeicherten Hash verglichen.
Hi Eknel727,
leider gibt es immer noch Seiten wo das Passwort im Klartext gespeichert wird, aber das ist nicht der Standard. Viele Webseiten speichern in Datenbanken ein Hash-Wert deines Passwortes und nicht das Passwort im Klarnamen. Der Hash wird aus deinem Passwort generiert/berechnet und meist in der Datenbank gespeichert. Diese kann nur sehr, sehr, schwer zurück gerechnet werden oder garnicht. Das liegt an der Stärke des Hash-Verfahrens.
Sobald du dich auf eine Webseite anmeldest wird aus deinem eingegeben Passwort eine Hash generiert und der mit dem Hash-Wert aus der Datenbank.
Serverseitige Programmiersprachen wie PHP sind dafür entwickelt worden rund ums Passwort-Hashing zu erstellen. Das nutzen viele Entwickler um damit komplexe Anmeldungsprozesse umzusetzen.
Ich hoffe dir hilft meine Antwort um deine Frage zu beantworten.
Die Vorgehensweise ist im Grunde immer dieselbe und variierte lediglich etwas, je nach dem welche Technologien zum Implementieren eingesetzt wurden. Die Credentials (Benutzdaten) werden bei der Registrierung eines neuen User in einer Datenbank gespeichert und später beim Login-Versuch aus der Datenbank abgefragt.
Weil Passwörter im Klartext immer eine schlechte Idee sind, werden derlei Daten verschlüsselt gespeichert. Sei es als Hash, mittels Salting oder indem beide Methoden miteinander kombiniert werden. Ich gehe jetzt mal nicht weiter ins Detail, da es bei der Fragestellung eigentlich wenig Sinn macht weiter darauf einzugehen.
Hash ≠ Verschlüsselung