SSL/TLS. Ohne Transportverschlüsselung muss man sicherstellen, dass das Passwort niemals ungehasht verschickt wird, und das ist bei Javascript-Zeug, HTTP-Authentifizierung und den meisten SASL-Implementierungen nicht der Fall.Sr4l hat geschrieben:Gibt es eine Möglichkeit einfache Benutzerpasswörter sicher zumachen?lunar hat geschrieben:Verwendest du jedes Passwort nur einmal? Wenn nicht, dann freut sich der Angreifer über das Passwort für Mail-Account, MyFace-Account oder wofür auch immer du dieses Passwort noch verwendet hast.Sr4l hat geschrieben:Der Benutzer loged sich ein mit Name und Passwort, ganz normal Plain Text.
Bei einer privaten Seite tut es das.lunar hat geschrieben:HTTPS ohne ein teuer gekauftest Zertifikat?
In einer Firma, die sich weder eine eigene CA aufbaut noch Geld in ein Zertifikat investieren will, läuft was schief in der IT-Sicherheit.Dann bekommst du irgendwann zu hören: "Habe mich gestern Abend mal auf Firmen e-Mail eingeloggt und der hat mich doch gleich gewarnt das die Seite nicht sicher ist. Ich wusste schon immer das unsere Administrator ne Flachschippe ist."
Edit: Grammatik
