Vlákno názorů k článku
Yahoo potvrdilo únik miliardy účtů, který nesouvisí s těmi předchozími
od RE: - Stane se...
-
Filip JirsákStříbrný podporovatelMůže. Uživatel si nastaví heslo v roce 1992 a pak už si ho nikdy nezmění. To je nevýhoda toho, když ukládáte jen hashe hesel a ne něco, z čeho lze získat původní heslo.
-
Filip JirsákStříbrný podporovatel
To se nijak nevylučuje s tím, že si uživatel heslo spoustu let nezměnil - prostě tu výzvu ignoroval.
-
Filip JirsákStříbrný podporovatel
To, že se heslo při přihlášení pošle v otevřeném tvaru, je ta nejméně bezpečná varianta a naštěstí to tak být vždy nemusí. Nicméně možné řešení to je. Ale pořád mi připadá lepší mít ta hesla pro tenhle případ uložená v zašifrované podobě, dešifrovací klíč mít offline a použít ho jen při potřebě vygenerovat nové hashe. Když už tedy uživatelé to heslo sdělují provozovateli služby - ideální by samozřejmě bylo, aby heslo v otevřeném tvaru nebo jeho ekvivalentu nikdy neopustilo klientský software.
-
Filip JirsákStříbrný podporovatel
Třeba tak, že se server nikdy heslo nedozví, zná jen osolený hash. Resp. heslo nikdy neopustí prohlížeč. Pak může být web sebeděravější, ale stejně vaše heslo nikdy neunikne (takže nevadí, když používáte na více místech stejné).
-
SB (neregistrovaný)
Asi kryptografii moc nerozumím, ale něco mi uchází: Ověření hesla se prování jeho hashováním na serveru se všemi solemi z rozsahu a porovnáváním s uloženým hashem. Když byste hashoval v prohlížeči, musel byste přenést řádově desetitisíce hashů na server k ověření, což je nesmysl.
Kde je chyba?
