Unsichere Passwortverschlüsselung

Was hat sich die DENIC eigentlich bei der Seite mit der Passwort-Verschlüsselung gedacht?

denic-passwort.jpg

Gibt man in dem Feld ein Passwort ein (welches übrigens mindestens 12 Zeichen lang sein soll; ein entsprechende Fehlermeldung erhält man aber erst nach einem erfolglosen Versuch), dann wird dieses unverschlüsselt (!) zum Webserver der DENIC gesendet, und dort der entsprechende Hash-Wert berechnet:

denic-passwort-post.gif

Was soll das bitteschön? Sollen Benutzer dazu ermuntert werden, ihre (möglicherweise “sicheren”) Passwörter unverschlüsselt über’s Netz zu schicken, nur um einen Hash-Wert berechnet zu bekommen?

Die Berechnung von Hashes geht üblicherweise auch komplett in JavaScript - somit müssten überhaupt keine Daten über’s Netz geschickt werden. Wir bieten unseren Kunden so zum Beispiel an, ihre .htaccess-Passwörter zu berechnen.

[UPDATE 18.05.2009] Die Passwort-Verschlüsselung wurde inzwischen von der DENIC-Website entfernt.

Eine Bemerkung zu “Unsichere Passwortverschlüsselung”

  1. RackBlogger » Blog Archiv » Nobody’s perfect

    […] Nach dem Artikel über die DENIC-Passwort-Verschlüsselung erhielt ich eben von einem Blogleser einen Hinweis auf bestehende XSS-Lücken auf unserer Website. […]

Einen Kommentar schreiben