Názor k článku Bezpečné přihlašování uživatelů od junix - Nojo, dik za upozorneni. To je ono. Samozrejme...

Nojo, dik za upozorneni. To je ono. Samozrejme by se slo pokusit ten hash cracknout, ale vzhledem k tomu, ze hmac je take md5 z 'neceho', tak by mel mit 128 bitu (16bytu), tudiz dost odolny vuci brute force a prakticky nemozny vuci slovniku. To uz je jednodussi z old_hmac cracknout skutecne heslo, presto, ze se na nej aplikuje MD5 dvakrat. Prefixy $k_ipad a $k_opad se spocitaji ze znalosti old_challenge, takze crackujete pouze heslo a bude to trvat pouze O(1) krat dele, nez kdyby se crackovala obycejna MD5.

Jinak nevidim zas takovou nutnost sahat si pro predchozi challenge AJAXem. Nejedna se o nezavisly kanal, a je akorat zavisly na tom, ze uz potrebuje znat uzivatelske jmeno