Vlákno názorů k článku
Nejoblíbenějším heslem roku 2011 je „heslo“ od Johny - Mno vzhledem k tomu, ze ta hesla se...

Mno vzhledem k tomu, ze ta hesla se vsechna dostala ven, tak ti lide na silu hesla u te sluzby kaslali zcela opravnene... :D

Která nekritická služba uchovává/přenáší hesla šifrovaně? Chromý nešikovný tesař by to spočítal na prstech.

Implementoval jste někdy šifrování hesel už na klientu? Přenášet jen zahashované heslo se solí nebo tak něco? Má to smysl?

Jo tyhle metody existuji - CRAM-MD5, Digest-MD5, ale maji jednu zasadni nevyhodu. Server musi mit k dispozici databazi hesel v plaintextu, aby si ten hash mohl taky spocitat. A to taky neni povazovano za bezpecne.

Hlavně pozor na to, aby pak pouhá znalost toho co je přenášeno nestačila k přihlášení. Jinými slovy - nemusíte znát původní heslo, stačí znát jeho hash k tomu abyste se přihlásili. Nesmějte se, i takovou "bezpečnost" jsem ve webové aplikaci našel. :-(

Takových je málo. Ale otázka spíše zní - která služba ještě dnes ukládá hesla v plaintextu do databáze? Už v minulém tisíciletí bylo dobrým zvykem ukládat jen hash hesla (nejčastěji MD5 se saltem). Takže z databáze pak vyčtete nejvýše to, že 2000 uživatelů má stejné heslo, a to ještě jen za předpokladu, že salt je pro všechny stejný. Pokud bych o nějakém serveru věděl, že udržuje v databázi mé heslo v plaintextu, tak se tam buď neregistruji vůbec, nebo použiji právě "password" apod. Bezpečnost toho hesla je beztak nulová tak proč se vůbec obtěžovat?