Hlavní navigace

Názor k článku Bezpečné přihlašování uživatelů od Michal Kára - Cekal jsem ze s tim nekdo vyrukuje. Ano,...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 4. 2006 7:55

    Michal Kára (neregistrovaný)
    Cekal jsem ze s tim nekdo vyrukuje. Ano, pak musim na klientovi pri prihlasovani provest stejny hash, jako jsem delal pri ukladani do databaze. Coz ale znamena, ze:

    1) Hashovaci funkce je verejna a kdokoli ziska DB, muze podniknout slovnikovy utok (a nedelejme si iluze o odolnosti beznych hesel BFU proti nemu).
    2) Staci upravit klienta a misto hesla pouzit hash z DB.

    Samorejme, RSA to resi, ale s JS je s ni problem.

    Dalsi vec je, pokud je potreba se prihlasovat i pres POP3, IMAP, SMTP atp., kde zadny javascript do klienta nepropasuji ;-)