Názor k článku Bezpečné přihlašování uživatelů od Jakub Vrána - A co takhle? U každého uživatele bude uložen login,...

A co takhle?

1. U každého uživatele bude uložen login, challenge a md5(hmac_md5(password, challenge)).
2. Při přihlašování se AJAXem zjistí, jaký challenge uživatel naposledy použil, a pošle se hmac_md5(password, old_challenge) a md5(hmac_md5(password, new_challenge))
3. Na serveru se navíc ověří, jestli md5(old_hmac) souhlasí s tím, co je uloženo v databázi, a pokud ano, přepíše se to novými hodnotami.

Autorem této myšlenky je Paul Jonhston. Přikládám Proof of Concept.