Ok Leute, nur ein kleines Spiel:

Ich habe einige Spezifikationen für ein Projekt. Irgendwann fordern sie Folgendes zum Verschlüsseln eines Kennworts über das Internet auf, um darauf hinzuweisen, dass es sich um ein Challenge-Response-Protokoll handelt:

CLIENT ----------------------------- SERVER

(1)ask for challenge -------------->

(2)    <---------------------------- send SHA1 taken from the time
                                       (this is the challenge)
(3) make SHA1 xor PASSWORD --------> if it's equal to SHA1 xor stored password

(4)    <---------------------------- Grant access

Für diejenigen, die es nicht kennen, steht SHA für Secure Hashing Algorithm, einen Standardalgorithmus für die Kryptographie.

Ich hoffe es ist klar. Die Frage ist: Wenn ich die Pakete 2 und 3 (die "Abfrage" und die "Abfrage xoder Passwort") schnüffle, habe ich das tatsächliche Passwort nur mit einem anderen xoder zwischen beiden!?!? Es gibt eine andere Möglichkeit, diese Art von Protokoll zu implementieren ??