Názor k článku Bezpečné přihlašování uživatelů od Michal Kára - Cekal jsem ze s tim nekdo vyrukuje. Ano,...

Cekal jsem ze s tim nekdo vyrukuje. Ano, pak musim na klientovi pri prihlasovani provest stejny hash, jako jsem delal pri ukladani do databaze. Coz ale znamena, ze:

1) Hashovaci funkce je verejna a kdokoli ziska DB, muze podniknout slovnikovy utok (a nedelejme si iluze o odolnosti beznych hesel BFU proti nemu).
2) Staci upravit klienta a misto hesla pouzit hash z DB.

Samorejme, RSA to resi, ale s JS je s ni problem.

Dalsi vec je, pokud je potreba se prihlasovat i pres POP3, IMAP, SMTP atp., kde zadny javascript do klienta nepropasuji ;-)