es erstaunt mich immer wieder, dass bei der Diskussion über Passwortverschlüsselung kaum jemand darüber spricht, wie Passworte gesichert durchs Netz kommen könnten. Es hat ja nicht jeder HTTPS im Einsatz.
Man muss sich nur bewusst machen, dass der 'submit' einer Form ungefiltert durchs Netz geht und schon mit einem freien Sniffer ausgelesen werden kann. Ich habe dies mit dem Community-Demo-Login geprüft.
Als Lösung bietet sich m.E. folgendes an:
- In der Form existiert ein 'hidden field'
das eingebene Passwort wird lokal mit Javascript verschlüsselt
und im 'hidden field' gespeichert
der Wert im Passwortfeld wird vor der Übertragung gelöscht
auf der Serverseite werden nur die verschlüsselten Passworte verglichen
Da die Passworte bereits verschlüsselt sind, werden sie als 'plain-text' in der DB gespeichert.
LG
Rudi