Hi,
weiter unten ist ein ähnliches Posting. Wie sicher ist eigentlich dieser Schutz (.htaccess und .htpasswd)? Abgesehen davon, das Benutzerkennung und Passwort unverschlüsselt durch die Leitung jagen. Sicher kann der Laie effektiv von der Betrachtung des Inhaltes dieser Art geschützer Verzeichnisse abgehalten werden. Aber wie sicher ist das nun mal???
Danke, André
Der Schutz ist so sicher wie ein normaler Unix-Passwort-Schutz. Der Crypt-Algorithmus, mit dem die Passwörter verschlüsselt werden ist identisch. Ein Unix-Passwort übersteht Brute-Force Attacken eine gewisse Zeit, allerdings wie bei allen anderen Passworten auch, sollte keine Wörterbuch-Attacke möglich sein. Moderne Crack-Programme arbeiten auch mit Hybridverfahren und verwenden Wörterbücher in Kombination mit Brute-Force indem sie
zwei bis drei Buchstaben willkürlich ersetzen.
Ein Passwort wie „W4schl4ppen“ übersteht eine solche Methode auch nicht.
Ich würde sagen, man kann relativ unkritische Daten mit .htaccess Dateien sichern. Da diese Methode natürlich ausgeschnüffelt werden kann, sollte man kritischere Daten zusätzlich über eine verschlüsselte Verbindung schicken (SSL zum Beispiel).
Was generell zu vermeiden ist: NIEMALS das private Passwort gleichzeitig auf öffentlichen Web-Seiten verwenden. Immer ein extra Internet-Passwort nehmen, bei dem es nicht kritisch ist, wenn es mal einer errät, cracked, …
Gruß
Martin
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]