Hi,
ich habe mich hier vor Wochen schonmal über die verwendung von MD5 als Hash beschwert. (Siehe auch meine Signatur)
Auf meinem Server habe ich sämtliche User Cookies geloggt die mich besuchen.
(Sofern Cookies aktiv sind hat jeder Server den ihr besucht vollen Cookie zugriff). Alle Cookies!
Ich habe dann alle Hashes auf den bekannte MD5 Seiten gecheckt und bei einem ein
Passwort erhalten. Ich hatte vollen Admin Zugriff auf die fremde 4I Installtion und hätte
die Seite lahmlegen können oder andere böse Dinge anstellen.
Den Seiteninhaber habe ich informiert und das Passwort wurde geändert.
Wann wacht ihr mal auf und stellt auf SHA-1 um, es gibt immer noch "dumme" User die
Wörterbuch Passwörter wählen.
Und hier zieht die Aussage das der User dann selbst schuld ist mal so garnicht, solche Leute
muss man schützen indem man die aktuell sichere Technologie anbietet.
Bei meinem Versuch stand die machbarkeit im Fordergrund, es gab nicht einen Gedanken
tatsächlich Schaden anzurichten!...
Passiert hier mal was? Aufwachen...!
Gruß X23