In b1gMail 7.4 wird bei Auswahl der Option „Login merken“ das Passwort des Benutzers nun nicht mehr unverschlüsselt in einem Cookie gespeichert.
Stattdessen wird zur Speicherung des Passworts ein einmaliger, zufälliger Key (OTP) generiert, der auf dem Server gespeichert wird. Mit diesem Key wird dann das Passwort des Benutzers verschlüsselt. Das verschlüsselte Passwort wird dann im Cookie abgelegt.
Durch diese Lösung speichern weder Server noch Browser das Passwort im Klartext. Weder Server noch Client können das Passwort alleine decodieren. Erst wenn beide Informationen gleichzeitig vorliegen, also der Key auf dem Server und das verschlüsselte Passwort im Browser-Cookie, kann das Klartext-Passwort zwecks Login rekonstruiert werden.
Weiterlesen...
Stattdessen wird zur Speicherung des Passworts ein einmaliger, zufälliger Key (OTP) generiert, der auf dem Server gespeichert wird. Mit diesem Key wird dann das Passwort des Benutzers verschlüsselt. Das verschlüsselte Passwort wird dann im Cookie abgelegt.
Durch diese Lösung speichern weder Server noch Browser das Passwort im Klartext. Weder Server noch Client können das Passwort alleine decodieren. Erst wenn beide Informationen gleichzeitig vorliegen, also der Key auf dem Server und das verschlüsselte Passwort im Browser-Cookie, kann das Klartext-Passwort zwecks Login rekonstruiert werden.
Weiterlesen...