Fragen? Antworten! Siehe auch: Alternativlos
Ich finde es gut, dass Firmen sowas jetzt ihren Kunden mitteilen. Aber es zeigt eben auch, dass Passwort-Hashing nur das halbe Problem löst. Das Passwort geht immer noch im Klartext über die Leitung und kann dann dort in irgendwelche Logs geschrieben werden. Eigentlich gibt es seit vielen Jahren Ansätze, das anders zu machen — TLS Client Certs zum Beispiel. Aber niemand traut sich, das auch nur optional zusätzlich zu Passwörtern anzubieten. Warum eigentlich nicht?