Passwörter unverschlüsselt versenden?

[sin777]

Hallo,

ich mache mir gerade darüber gedanken, wie ich mein loginsystem möglichst sicher mache. die passwörter werden verschlüsselt in der datenbank gespeichert und nachdem der benutzer eingeloggt ist, wird er (immer wieder) mittels einer session-id identifiziert, das heißt passwort und username liegen nicht beim user.
ich frage mich nun aber, was ich denn dagegen machen kann, dass beim login, also wenn sich der user das erste mal ausweist, das passwort unverschlüsselt übers netzwerk geht.


Viele Grüße =)

 

[Asterixus]

Viele Hoster bieten ein SSL-Zertifikat an, das dieses Problem regelt.
Ich würde übrigens das Passwort nicht verschlüsselt sondern gehasht in die Datenbank setzen.

 

[sin777]

ist gehasht nicht gleich verschlüsselt? ich verwende die mysql-interne SHA() funktion.
d.h. ich benötige https?

 

[Asterixus]

Ja, HTTPS ist das Hypertext Transfer Protocol bei SSL.
Verschlüsselungen ermöglichen es dank eines Schlüssels den Originaltext zurückzufinden.
Hashing ist ein Ein-Weg-Verfahren und kann sich nicht zurückberechnen lassen. Sha ist Hashin, also alles gut.