Page Comparison

Die Informationen, die zur Authentifizierung gespeichert werden sind Hash und Salt.

Der Client hasht das eingegebene Passwort mit einem Salt, welcher u.A. den Benutzernamen enthält (Clientside PBKDF2). Dieser Hash wird an den Server gesendet und dort mit dem für diesen Nutzer in der Datenbank hinterlegtem Salt nochmals gehast, was nur bei Übereinstimmung mit dem persistieren Wert als erfolgreiche Anmeldung gewertet wird (Serverside PBKDF2). Der serverseitige Salt ist eine für jeden Benutzer individuelle und zufällig generierte Bytefolge. Dieses Vorgehen stellt folgende Punkte sicher:

• Das Passwort wird nicht im Klartext an den Server übertragen.
• Die an den Server gesendete Information (Hash 1) unterscheidet sich von der zu diesem Benutzer in der Datenbank gespeicherten Information (Hash 2).
• Der Client erhält keine Kenntnis über die in der Datenbank hinterlegten Werte für Hash oder Salt.
• Selbst bei identischen Passworten sind die Hash-Werte für verschiedene Benutzer unterschiedlich. Dies gilt sogar, wenn die Salt-Werte für zwei Benutzer identisch wären. D.h es ist nicht möglich, die Datenbankeinträge eines Benutzers auf die eines anderen Benutzers sinnvoll zu übertragen.
• Die Hashberechnung ist so gestalltet, dass Brute Force Attacken erschwert werden.
• Das eingesetzte Verfahren ist Bestandteil der Standard .NET Bibliotheken.