Wie macht man ein Login sicher?

...komplette Frage anzeigen

3 Antworten

Ich mache das immer so, dass ich die Website nur über eine TLS-Verbindung (früher SSL genannt) anbiete, also unter einer https-URL.

Damit ist ein "Abhören" der Leitung nicht möglich, da die beiden Kommunikationspartner am Beginn der Verbindung geheime Schlüssel für die Kommunikation vereinbaren:

http://de.wikipedia.org/wiki/Transport_Layer_Security

Wenn man das Passwort verschlüsselt sendet kann der Hacker sich doch auch mit den verschlüsselten Passwort anmelden?

Nein kann er nicht.

Beispiel: Dein Passwort ist hallo. Der Hacker sieht das: 598d4c200461b81522a3328565c25f7c

Damit kann er sich natürlich nicht anmelden sondern muss in das Passwortfeld hallo eingeben.

Natürlich kann man so eine Verschlüsselung auch knachen. Wenn das aber keine Firmenwebseite auf der sensible Daten lagern sondern nur etwas privates wird sich wohl kein Hacker die Mühe machen.

Hier mal ein Heise Artikel dazu: heise.de/security/artikel/SSL-fuer-lau-880221.html

Und hier die entsprechende Seite für kostenloase Zertifikate: http://www.startssl.com/?app=1

Was möchtest Du wissen?