Názor k článku Postřehy z bezpečnosti: pomsta ztraceného telefonu od Filip Jirsák - oss: Přečtěte si zprávičku i můj komentář ještě...

oss: Přečtěte si zprávičku i můj komentář ještě jednou a pozorněji. Problém byl v tom, že se heslo posílá v otevřeném tvaru do něčeho, co klient považuje za vlastní infrastrukturu, ale ve skutečnosti to vlastní infrastruktura není.

No a chránit heslo před únikem z vlastní infrastruktury není žádné „akorát“. Je spousta úniků hesel z vlastní infrastruktury – jenom web https://haveibeenpwned.com eviduje přes pět set úniků z webů. Kdo může, snaží se hesla na serveru neukládat v otevřeném tvaru. Problém je, že ukládání hesel je až ten poslední krok. Jenže k chybě může dojít kdykoli před tím. Správné heslo je takové, které zná jenom vlastník toho hesla a nikdo jiný. Ostatní potřebují jen informace pro ověření hesla, nepotřebují znát to heslo samotné. Takže to, že heslo v otevřeném tvaru opouští klienta je principiálně špatně.