RackBlogger

Was hat sich die DENIC eigentlich bei der Seite mit der Passwort-Verschlüsselung gedacht?

Gibt man in dem Feld ein Passwort ein (welches übrigens mindestens 12 Zeichen lang sein soll; ein entsprechende Fehlermeldung erhält man aber erst nach einem erfolglosen Versuch), dann wird dieses unverschlüsselt (!) zum Webserver der DENIC gesendet, und dort der entsprechende Hash-Wert berechnet:

Was soll das bitteschön? Sollen Benutzer dazu ermuntert werden, ihre (möglicherweise “sicheren”) Passwörter unverschlüsselt über’s Netz zu schicken, nur um einen Hash-Wert berechnet zu bekommen?

Die Berechnung von Hashes geht üblicherweise auch komplett in JavaScript - somit müssten überhaupt keine Daten über’s Netz geschickt werden. Wir bieten unseren Kunden so zum Beispiel an, ihre .htaccess-Passwörter zu berechnen.

[UPDATE 18.05.2009] Die Passwort-Verschlüsselung wurde inzwischen von der DENIC-Website entfernt.

Der Beitrag wurde am Donnerstag, den 14. Mai 2009 um 09:32 Uhr veröffentlicht und wurde unter Allgemein abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.