Am 08.12.2011 14:54 schrieb Dennis Steinkamp:
Wäre beispielsweise CRAM-MD5, DIGEST-MD5 eine Alternative oder erfüllt es aktuelle Sicherheitsanforderungen nicht ausreichend?
Die Nachteile dieser Verfahren sind, dass die Passwörter der Benutzer dann im Klartext in der Datenbank auf dem Server liegen müssen.
Hintergrund:
Bei den PLAIN-Verfahren wird das Klartext passwort des Nutzers vom Server gegen den Hash in der Datenbank geprüft. Der Server wendet also den Hash-Algorithmus auf das ihm vom Client im Klartext gelieferte Passwort an.
Bei den Challenge-Response-Verfahren wird ein Hash über das Klartext passwort und ein Randomwert gebildet. Der Randomwert als Challenge an den Client geschickt und er aufgefordert mit dem ihm vorliegenden Passwort und dem Challenge eine Response zu berechnen. Stimmt das mit dem lokal berechneten überein ist der Client authentifiziert. Damit das Challenge jedesmal anders aussieht muss man das random immer neu erzeugt und mit dem klartext passwort verknüpft werden.
Grüße, Florian