Client- oder Server side hashen?

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

Serverside. Besonders wegen dem Salt und dem Pepper

übergebe ich das passwort an php in plain text? kann mir irgendwie nicht vorstellen das dass sicher ist

0

Dafür benutzt man ja verschlüsselte Verbindungen :P

0

haha ok ich glaub ich habs verstanden! ich habe ein ssl Zertifikat für meine domain. und das ist eine Verschlüsselte Verbindung? damit kann ich also im prinzip ohne probleme das passwort mit ".php?u=name&p= passwort" übergeben?

0

Passwörter niemals mit GET übertragen, eben weil es dann in der URL steht. Somit wäre es im Client im Verlauf als auch im Server in den Logs - und das will man ja nicht. Immer für solche Sachen POST verwenden.

0

danke große Hilfe von dir

0

Das clientseitige Hashen macht keinerlei Sinn. Zwar findet ein Angreifer dann nicht das eigentliche Passwort heraus, doch erwartet der Server dann ja ohnehin nicht DAS Passwort, sondern eben den Hash des Passworts. Findet der Angreifer also den Hash des Passworts heraus, so bekommt er auch Zugriff auf den Account, das Passwort braucht er dann nicht mehr. Somit macht definitiv nur das serverseitige Hashen Sinn. Um also das Passwort vor einem Angreifer zu schützen, sollte man auf jeden Fall TLS verwenden, dies ist die einzig sichere Verschlüsselungsmöglichkeit, da sie zudem auch noch eine Authentifizierung ermöglicht, sodass der Client auch weiß, dass sein Gegenüber wirklich der Server ist. Also: Serverseitig hashen + TLS nutzen

Serverseitig VOR der datenspeicherung. Alles andere hat meiner meinung nach wenig/keinen sinn

Was möchtest Du wissen?