Login vs Verschlüsseltem Link

[fakerer]

Hallo,
anscheinend gibt es Links mit hash die zu Formularen mit persönlichen Daten oder zum Download von Eintrittskarten führen.

Nun habe ich mich gefragt wie sicher das ist, Ist das mit einem Login vergleichbar?
100% sicher ist nichts aber ich denke mal der Aufwand einen hash tag zu erraten ist genauso hoch wie ein Login zu hacken oder übersehe ich da etwas?
Abgefangen kann denk ich das Login genauso wie der hash tag.

Würde mich Interessieren wie ihr so darüber denkt.

 

[Digicam]

der Aufwand einen hash tag zu erraten ist genauso hoch wie ein Login zu hacken

Zum einen meinst Du sicher Hashwert und nicht nicht Hastag.

Zum anderen können verschiedene Werte den gleichen Hashwert liefern [1]. Insofern ist das Login sicherer. Allerdings ist ein Login eben nur so sicher wie das dafür genutzte Passwort.

[1] http://de.wikipedia.org/wiki/Hashwert

 

[fakerer]

Richtig, ich meine den Hashwert ,
Das man den selben Hashwert bekommen könnte, an das hab ich noch gar nicht gedacht.
Aber hat mich auf eine Idee gebracht, link mit hashwert verschicken der mit der email andresse entstanden ist, und wenn der Link mit dem Hashwert aufgerufen wird muss er seine Emailadresse eingeben.

Logins, wie du schon sagst haben das Passwortproblem, ich finde es nicht schön wenn man den Leuten ein Passwort vorschreibt, und wenn die user eins selber vergeben sind die meist sehr kurz.
Und zum andren erspart man sich vor allem bei so einmaligen Sagen Useraccounts anzulegen die dann ewig in der Datenbank rumliegen

 

[Digicam]

link mit hashwert verschicken der mit der email andresse entstanden ist, und wenn der Link mit dem Hashwert aufgerufen wird muss er seine Emailadresse eingeben.

Und dann?

meineMail@nirvana.dd hat beispielsweise den Hashwert 4711.
Wenn es jemand drauf anlegt, generiert er eine andere Mailadresse mit dem gleichen Hashwert und gibt die dann bei der Abfrage ein. Was hast Du gewonnen?

Hashwerte nimmt man zur Überprüfung von Dateimanipulationen.
meinBrief.pdf hat bspw. den MD5-Wert 4711. Wenn jetzt jemand die Datei herunterlädt und einen MD5-Wert von 0815 bekommt, weiß er, dass die Datei manipuliert wurde.

ich finde es nicht schön wenn man den Leuten ein Passwort vorschreibt

Richtig.

wenn die user eins selber vergeben sind die meist sehr kurz.

Mal ehrlich: Ist das Dein Problem?
Du stellst mit einem Passwort eine sichere Möglichkeit zur Verfügung. Wer bis jetzt immer noch nicht gelernt hat, wie man ein sicheres Passwort generiert, ist selbst schuld.

 

[fakerer]

ich stelle mir das im Moment so vor.

Leute bekommen einen Link mit Hash an ihre Emailadresse geschickt
$hashwert = md5(usermail.'irgendeinezeichenkette')

user klickt dann auf

wird dann nach seiner Email gefragt
und dann wird vergleichen ob ob md5(eingegebeneEmail.'irgendeinezeichenkette') == $hashwert
Und natürlich muss die email auch schon im System sein

 

[Digicam]

Und natürlich muss die email auch schon im System sein

Alles andere ist sinnfrei. Allerdings brauchst Du dann keinen Hashwert mehr. Die bei Dir hinterlegte Mailadresse kennt in aller Regel ja nur der, der sie auch eingegeben hat. Wenn das jemand anderes weiß, nützt Dir auch der Hashwert nix.

Eine sichere Variante ist nur eine Benutzername/Passwort-Kombi, die entsprechend in einer Datenbank eingetragen ist oder eine Zugangsregelung auf .htaccess-Ebene.