Hlavní navigace

Názor k článku Bezpečné přihlašování uživatelů od anonym - Ne tak docela. Hesla muzes mit klidne hashovana...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 4. 2006 7:49

    bez přezdívky
    Ne tak docela. Hesla muzes mit klidne hashovana trikrat, ale plati ze na overeni challenge-response tohoto typu klientovy staci vedet co mas v databazi (muzes mit v databazi hash hesla a na klientovy pocitat response z hesla tak, ze nejdriv udelas hash - ale pak uz nemuzes overit, ze klient skutecne mel to heslo a ne jen ten hash, ktery mohl ziskat napriklad ukradenim databaze).

    Challenge-response tohoto typu proste zvysi bezpecnost proti odposlouchavani a snizi bezpecnost proti ukradeni databaze.

    Jedina spravna cesta pro challenge-response (ktera ma vyhody obou) je asymetricka kryptografie. Jenze obavam se, ze RSA v javascriptu nespocitas ... a i kdyby, pouzit na to SSL je vyhodnejsi. (SSL challenge-response je situace, kdy se klient prihlasuje vlastnim certifikatem).