Názor k článku Jak na tomhle webu změním heslo? Pomocí známé URL pro změnu hesla od L. - Promiňte, ale přijde mi, že jste si přečetl...

Promiňte, ale přijde mi, že jste si přečetl bezpečnostní poučku "heslo nemá být uloženo v otevřeném tvaru" a katastrofálně ji nepochopil. To, co prosazujete je de-fakto ukládání hesla v otevřeném tvaru, pouze místo něj máte hash. Tedy přesně to, co ta poučka nedoporučuje.

> To se setsakramentsky mýlíte. Provozovatel (nebo třeba útočník na jeho straně) bude velice rád, když mu pošlete heslo v
> otevřeném tvaru, protože ho může zkoušet na dalších systémech. Hash hesla spolu s unikátním názvem serveru mu
> práci podstatně ztíží, protože může maximálně zkoušet hrubou silou lámat jedno heslo po druhém.

To se setsakramentsky mýlíte. Protože provozovatel má pod kontrolou posílanou výzvu, může posílat všem přihlašujícím se stejnou (výzvu) a následně lámat všechny nasbírané hasne najednou, protože budou mít stejný salt.

A že bude zkoušet na dalších systémech moje heslo? Ať si poslouží, mám pro každý web jiné. :-D

Nejbezpečnější systém přihlašování heslem je tedy:

1) Uživatel má pro každý web jiné heslo

2) Klient posílá při přihlášení heslo plaintext, ale zašifrovaným kanálem

3) Server má heslo uložené zahashované s různou solí pro každého uživatele. při přihlášení zahashuje zaslané heslo stejnou solí a porovná.

Jak vidíte, nějaké hashování v prohlížeči v tom vůbec nefiguruje. Proto se také podobné metody moc neujaly - protože nic moc pozitivního nepřináší.