Názor k článku Jak na tomhle webu změním heslo? Pomocí známé URL pro změnu hesla od L. - Jen dále dokazujete, že jste to špatně pochopil....

Jen dále dokazujete, že jste to špatně pochopil. Pokud používáte hash hesla jako plaintext heslo (uložený v DB, klient ho pošle a porovná se s DB), je prakticky jedno, že je to hash.

Konkrétně HTTP digest zajišťuje, že výzva bude jednoznačná, doposud jsme ale mluvili obecně.

Heslo si mohu pamatovat, ale nemusím. Kryptografický klíč si zapamatuji těžko. Já si hesla na pár důležitých webů pamatuji a nemám je ani uložené ve správci hesel. Na tu spoustu méně důležitých webů mám náhodně generovaná hesla uložená ve správci. Podstatné je, že je to něco, co mohu udělat sám jako uživatel bez závislosti na majitelích webů.

> „Klient posílá při přihlášení heslo plaintext“ je ten nejnebezpečnější systém přihlašování a neexistuje k němu vůbec žádný důvod.

Děkuji za krásnou ukázku tzv. "důkazu úporným tvrzením" :-) Za předpokladů, které jsem vyjmenoval je to bezpečné slušně.

Ano SCRAM tyhle věci řeší, ale kolik webů to používá? Moc ne Asi jsou všichni hloupí a nerozumí tomu, tak dobře, jako vy :-)