Sobald Passwörter zum Login für Webseiten verwendet werden, ist HTTPs unverzichtbar. Im Folgenden möchte ich aufzeigen, warum dem so ist! Ich beginne mit einer Übersicht der gängigsten Authentifizierungen für Web-Portale.
(1) Klartext Login
Die einfachste Variante: Der Login im Klartext.
Account anlegen
Der Benutzername und das Passwort werden im Klartext an den Server gesendet.
![Plaintext Registration](https://itsecblog.de/wp-content/uploads/2016/06/plaintext-registration.png)
Anmeldung
Zur Anmeldung wird der Benutzername und das Passwort im Klartext an den Server gesendet.
![Plaintext Login](https://itsecblog.de/wp-content/uploads/2016/06/plaintext-login.png)
Sicherheit
Die folgende Analyse wertet die Sicherheit des Verfahrens aus. Die Liste ist ein Auszug einiger wichtiger Sicherheitsparameter, jedoch nicht abschließend.
Klartextpasswort geschützt | Nein |
Replay-Angriff verhindert | Nein. Wird das Passwort während der Anmeldung mitgeschnitten, kann dieses zum Login genutzt werden. |
Login nach Kompromittierung der Datenbank verhindert | Nein. Das in der Datenbank gespeicherte Passwort kann zum Login verwendet werden. |
Man-in-the-Middle verhindert | Nein. Es gibt keine Möglichkeit sicherzustellen, dass der Client direkt mit dem Server kommuniziert. |
Fazit: Erhebliche Risiken; bietet über unverschlüsselte Kommunikationskanäle keinerlei Sicherheit.