17.12.2017, 21:32
minti schrieb:Und dann bitte das Passwort auch sicher übertragen.
Wenn man in einem Netz unterwegs ist, in dem jemand den Netzverkehr mitsniffen kann (unbekannter öffentlicher HotSpot), lässt sich der übertragene Passwort-Hash in deutlich weniger als einer Minute in das Klartext-Passwort zurückrechnen.
Also mit dem Anmeldezwang (den ich positiv sehe) wird erzwungen, dass die Passwörter der User unzureichend gesichert durch das Netz fließen (finde ich nicht so gut). Hier gibt es keine Geheimnisse im Forum, daher muss man es mit der Sicherheit auch nicht übertreiben, aber:
Das mini2-Passwort sollte man nirgendswoanders ein zweites Mal nutzen.
Auf SSL und damit eine gesicherte Verbindung umzustellen ist leider gar nicht mal trivial, SSL läuft über einen anderen Port (443) als das normale HTTP Protokoll, hier habe ich gerade keine Ahnung in wie weit das von unseren Dienstleister freigeschaltet werden muss bzw. DNS Einträge dafür geändert werden müssen
Ansonsten würde ich gerne nochmal anmerken das die Übertragung des Passworthashes nur dann ein Problem darstellt wenn sich jemand im gleichen Netz befindet (Zuhause am gleichen Router bzw. auf der Arbeitsstelle), sobald es den Weg in das "Internet" gefunden hat könnte nur ein Internetdienstleister die Daten abgreifen.