Hallo,
ich habe schon diverese Webanwendungen programmiert, in denen es möglich war, dass sich Benutzer registrieren. Das Passwort wurde natürlich mit SHA (und einem Salt) in einer Datenbank abgelegt und um die Anmeldung zu prüfen, wurde der Hash des eingegebenen Strings, mit dem aus der Datenbank verglichen. So wurde nirgends das Klartextpasswort abgelegt. Soweit so gut.
Nun meine Frage:
Manchmal ist es m.E. ja erforderlich, dass das Programm das Klartextpasswort kennt. Wie kann ich dieses sicher beim Client ablegen?
Hintergrund:
Aufgefallen ist mir das bei IBM RSA/Eclipse. Will man sich z.B. über das Git-Plugin bei einem Remote-Repository anmelden, bietet Eclipse die Möglichkeit, das Passwort für das Remote-Repository sicher abzulegen. Führe ich nun z.B. ein push aus, muss ja mein Eclipse mein Klartextkennwort kennen, um dieses per https an die Remote-Site zu schicken, um sich zu authentifizieren?! Nur den Hash ablegen geht ja nicht, ich kann ja nicht ein Hash zum einloggen nehmen..
Wie legt Eclipse also dieses Klartext-Kennwort ab? AES mit festem Schlüssel? Kann ja fast nicht sein, Eclipse ist ja Open-Source, so könnte man also die verschlüsselte Datei einfach entschlüsseln. Passiert dies mit asynchroner Verschlüsselung à la RSA?
ich habe schon diverese Webanwendungen programmiert, in denen es möglich war, dass sich Benutzer registrieren. Das Passwort wurde natürlich mit SHA (und einem Salt) in einer Datenbank abgelegt und um die Anmeldung zu prüfen, wurde der Hash des eingegebenen Strings, mit dem aus der Datenbank verglichen. So wurde nirgends das Klartextpasswort abgelegt. Soweit so gut.
Nun meine Frage:
Manchmal ist es m.E. ja erforderlich, dass das Programm das Klartextpasswort kennt. Wie kann ich dieses sicher beim Client ablegen?
Hintergrund:
Aufgefallen ist mir das bei IBM RSA/Eclipse. Will man sich z.B. über das Git-Plugin bei einem Remote-Repository anmelden, bietet Eclipse die Möglichkeit, das Passwort für das Remote-Repository sicher abzulegen. Führe ich nun z.B. ein push aus, muss ja mein Eclipse mein Klartextkennwort kennen, um dieses per https an die Remote-Site zu schicken, um sich zu authentifizieren?! Nur den Hash ablegen geht ja nicht, ich kann ja nicht ein Hash zum einloggen nehmen..
Wie legt Eclipse also dieses Klartext-Kennwort ab? AES mit festem Schlüssel? Kann ja fast nicht sein, Eclipse ist ja Open-Source, so könnte man also die verschlüsselte Datei einfach entschlüsseln. Passiert dies mit asynchroner Verschlüsselung à la RSA?
