Antwort #676: März 22, 2013, 13:14:27
Genau daran dachte ich auch. Die ganze Sache funktioniert nur, wenn die Kennwörter im Klartext oder reversibel verschlüsselt gespeichert werden. Eigentlich sollte es aber anders sein. Die Kennwörter werden nicht direkt gespeichert (so auch hier im Forum).
Damit kann der Betreiber das Kennwort eines Benutzers nicht herausgeben, auch nicht dem Benutzer selber gegenüber. Besser ist sogar noch, wenn das Kennwort nicht direkt zu einem Hashwert umgewandelt wird, sondern erst noch mit einem zufälligen Anteil (Salt). D.h. selbst wenn zwei Benutzer das gleiche Kennwort benutzen, haben sie unterschiedliche Hashwerte. Das erschwert das Knacken weiter.
Ein Anhaltspunkt ist oft, wenn man bei einer Funktion wie "Kennwort vergessen" sich dieses nicht per Mail neu zusenden lassen kann, sondern nur die Vergabe eines neuen auslösen kann. Ähnlich wie beim PIN einer Bankkarte.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller