Vlákno názorů k článku Bezpečné přihlašování uživatelů od peta - Ahoj, článek je OK, jen v něm myslím...
-
peta (neregistrovaný)Ahoj, článek je OK, jen v něm myslím chybí zmínka o tom, že v případě použití challenge-response mechanismu je třeba zvláštní péči věnovat ochraně databáze, kde jsou uloženy otisky hesel. Při zcizení otisků se může zručnější útočník přihlásit v podstatě jako jakýkoli uživatel - stačí jen trochu poupravit uvedený JavaScript, aby již otisk nehashoval. Bohužel ani C-R tedy není "100% bezpečný"...
-
Jirka Kosek (neregistrovaný)Heslo je tím skutečně zabezpečené. Většina uživatelů používá do různých systémů stejná hesla. Pokud se někdo dostane k databázi hesel jednoho systému, kde jsou jen jejich hashe, nemůže hned hesla použít pro napadeních jiných systémů, kde má daný uživatel účet.
Hesla se v databázi nehashují kvůli tomu, aby bylo těžší celou aplikaci hacknout, ale kvůli tomu, aby následky takového hacku byly pro uživatele menší. -
Igor (neregistrovaný)Nelze poprit, ze obeti pouzivaji stejna hesla, ani to, ze hash nelze pouzit jinde, za predpokladu, ze jinde shodou okolnosti nepouzivaji stejny postup. Neni zaruka, ze ne, vlastne lze ocekavat, ze se primocare postupy budou opakovat.
Nicmene je treba si uvedomit, ze uziva-li se vsude misto 'hesla' jeho hash, faktickym heslem se stava hash 'hesla', nikoliv zaklad, z nehoz byl vypocten. Ackoliv se do databaze ukladaji hashe, po funkcni strance jde o hesla v plaintext forme, byt pouzitelna pro utoky zase (snad) jen na tomto stroji. Toto je pricinou iluze: rada lidi nechape, jak se hashe promeni v plaintext. Proste voodoo.
To je cena za (nejistou) unikatnost hesel (+ pripadne CR protokol). Neco podobneho tu uz ale padlo. -
anonymníNěco na tom je. Na druhou stranu, pokud člověk používá dostatečně slabé heslo, se znalostí hashovacího algoritmu a hashe se dá heslo s relativní jistotou zjistit v rozumném čase. A člověk, který se dostane k databázi hashů a zaměří se na jednoho konkrétního člověka, aniž by tento o problému věděl nebo adekvátně zareagoval, ten čas má.
-
peta (neregistrovaný)Nějak si nejsem jistý, zda jsem pochopil tento příspěvek. Heslo se samozřejmě odposlechnout dá - pokud se ovšem nepoužije C-R nebo něco podobného. V tom případě se odchytí pouze zahashovaný řetězec, který je samozřejmě již na nic, protože při příštím přihlášení bude zase jiný...
ČLÁNKY DO MAILU