Ne tak docela. Hesla muzes mit klidne hashovana trikrat, ale plati ze na overeni challenge-response tohoto typu klientovy staci vedet co mas v databazi (muzes mit v databazi hash hesla a na klientovy pocitat response z hesla tak, ze nejdriv udelas hash - ale pak uz nemuzes overit, ze klient skutecne mel to heslo a ne jen ten hash, ktery mohl ziskat napriklad ukradenim databaze).
Challenge-response tohoto typu proste zvysi bezpecnost proti odposlouchavani a snizi bezpecnost proti ukradeni databaze.
Jedina spravna cesta pro challenge-response (ktera ma vyhody obou) je asymetricka kryptografie. Jenze obavam se, ze RSA v javascriptu nespocitas ... a i kdyby, pouzit na to SSL je vyhodnejsi. (SSL challenge-response je situace, kdy se klient prihlasuje vlastnim certifikatem).
Názor k článku
Bezpečné přihlašování uživatelů
aura:99
