Auslesen von Passwörtern so einfach?

[●ROBBY●]

Heyho Community,

Ich habe gerade mal ein bisschen mit Live HTTP Headers rumgespielt und da ist mir aufgefallen, dass selbst bei Seiten wie Facebook das Passwort und der Benutzername einfach so unverschlüsselt im z.B. 2. Paket stehen. Meine Frage ist jetzt, ist es wirklich so einfach an Passwörter zu kommen? Einfach die Pakete mitsniffen und zack hat man das Passwort?
Nicht dass ich vorhätte sowas auszunutzen oder sonst was, mich hat es gerade nur nen bisschen schockiert, dass man Passwörter theoretisch so leicht auslesen könnte.

[PseudoPsycho]

Nja, klar.
Die Passwörter werden für gewöhnlich als Hash gespeichert, aber vom Browser natürlich als Klartext an den Server übertragen.
Einzige Möglichkeit, dem vorzubeugen ist eben eine verschlüsselte Verbindung.
Das erkennt man dann leicht am Server-Protokoll, z.B. https:// sftp:// oder dergleichen.

[●ROBBY●]

Dass mit https:// wusste ich auch schon, ich war nur davon ausgegangen, dass normale Verbindungen auch gesichert sind und https Verbindungen quasi noch stärker.

Naja, danke für die Antwort. Hätte echt nicht gedacht, dass die Pw's einfach als Klaartext gesendet werden. Wieder was gelernt.

[マルコ]

nja, Ich für meinen Teil bevorzuge es, Passwörter im Browser zu hashen und dann an den Server zu übertragen, so dass nur im Browser kurz das Passwort zum Anmelden/Registrieren im Klartext ist, und ansonsten nur der Hash benutzt wird.
Auf dem Server sollte der Hash dann natürlich auch nicht einfach nur gespeichert werden, sondern mit Salt erweitert.