Ich denke, Du hast das schon richtig erfasst. Der Aufwand für Arne wäre vermutlich enorm.

Da wir schon so weit sind, will ich noch mit einflechten, was Hafu vermutlich plagt. Dazu wähle ich eine Fahrrad-Analogie, die in einem Triathlon-Forum auf nicht allzuviel Unverständnis stoßen dürfte. :Cheese:

Stell Dir vor, Du kaufst ein Fahrrad. Und Du lebst in einer Welt, in der Fahrradschlösser nicht einzeln verkauft werden. Man kann sein Fahrrad also nur dann abschließen, wenn man das Schloss gleich mit dem Fahrrad gekauft hat. Es wird aber keiner gezwungen, ein Fahrrad mit Schloss zu kaufen, dann stellt man es einfach so ab und hofft auf das Beste.

Arne (sorry! :Blumen:) hat einen Exklusivvertrag und ist Fahrradhändler für die Marke HTTP. Er verkauft nur Räder ohne Schloss. Schlösser werden bei ihm nicht oft nachgefragt, deswegen lohnt sich die Einrichtung eines Lagers für Schlösser nicht.

Andere Fahrradhändler haben Räder der Marke HTTPS vorrätig, die immer mit Zahlenschloss ausgeliefert werden.
Es sind aber nicht alle Schlösser gleich: Manche haben 3, andere 4, wieder andere 5 Stellen. Dazu gibt es noch unterschiedliche Stärken für das Stahlseil.

Hafu würde nun gerne den 21. Rennboliden für die Familie erwerben. Der soll aber auch besonders diebstahlsicher abgestellt werden können. Er geht also zu einem Händler, der Räder mit 5-stelligen Schlössern mit besonders dickem Seil anbietet. Allerdings ist Hafu beruflich immer so im Stress, dass er sich nur 2 Stellen (sorry! :Blumen:) merken kann. Mit so leicht zu knackenden Schlössern werden die Geschosse aber leider nicht verkauft.

Deswegen kann er das tolle Rad der Marke HTTPS nicht kaufen, geht frustriert nach Hause und ist froh, dass er überhaupt eine Zeitfahrmaschine der Marke HTTP bekommt, auch wenn er immer Angst hat, dass die geklaut wird, weil sie nicht abgeschlossen auf der Straße steht. :Lachen2:

An die, denen ich gerade eben mit meinen Albernheiten die Zeit gestohlen habe: Entschuldigung! :Huhu:
Die anderen haben vielleicht eine bessere Idee davon bekommen, was die verschiedenen Algorithmen (Stellenzahl) und Schlüssellängen (Seildicke) bedeuten.

Jetzt erklär doch noch bitte, wieso mein PW fürs Onlinebanking und mein Kontostand in Gefahr sind, weil TS.DE nur auf HTTP läuft?

Sind sie nicht. Das sind zwei unterschiedliche Anwendungsfälle (vielleicht mit "wenn man das nicht möchte" von mir sprachlich ungeschickt getrennt) - es sei denn, Du benutzt dasselbe Passwort. ;)

Es wäre aber prinzipiell aus Datenschutzsicht wünschenswert wenn die Details meiner Interaktion mit TS, inklusive der Übertragung meiner Kontodaten bei Erneuerung des Abos, nur für Arne :Blumen: und mich sichtbar blieben. :)

Auch der weiss das nicht. Die Passwörter sind verschlüsselt in der Datenbank.
Wenn ich recht informiert bin mit MD5.
Da muss man schon einigen Aufwand betreiben.

... oder als Provider halt den ganzen http-Verkehr seiner Kunden aufzeichnen und auswerten, da es erst nach dem Eintreffen auf dem Server gehashed wird.

Ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber die Passwörter müssen ja erst mal übertragen werden bevor sie mit den gehashten in der Datenbank verglichen werden. Um sie nicht im Klartext zu übertragen müsste eine Codierung auf dem Client z.B. per Javascript abgewickelt werden; das hat aber nicht jeder aktiviert. Deswegen tippe ich darauf, dass die Übertragung im Klartext stattfindet.

Darauf wollte ich hinaus.

Soviel Aufwand für ein forenpasswort?
Wozu sollte das gut sein?