Názor k článku Jak na tomhle webu změním heslo? Pomocí známé URL pro změnu hesla od Filip Jirsák - L.: Útočník, který poslouchá na síti, hash neodposlechne,...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 12. 2018 7:10

    Filip Jirsák
    Stříbrný podporovatel

    L.: Útočník, který poslouchá na síti, hash neodposlechne, protože k autentizaci se používá hash výzvy + zahashovaného hesla. Hash hesla by mohl odposlechnout leda při nastavení/změně hesla. Mimochodem, při normálním přihlášení jménem a heslem se heslo posílá v otevřeném tvaru, takže tam ho útočník poslouchající na síti opravdu získat může (pokud je komunikace nešifrovaná). Že se hash dozví majitel serveru ničemu nevadí, ten stejně zná vše, co se může uživatel na webu dozvědět. Podstatné je to, že nezná to heslo v otevřené podobě, takže se nemůže přihlásit na jiný web, kde uživatel používá stejné heslo. Útočník, který se dostane k databázi, je na tom stejně, jako kdyby byla hesla hashovaná až na serveru.

    Pro vaši „variantu s OTP“ nepotřebujete na serveru heslo v plaintextu, místo něj lze právě použít hash. Podívejte se, jak to dělá právě HTTP Digest autentizace.