Odpověď na názor
Odpovídáte na názor k článku Meta zaplatí pokutu 91 milónů eur za hesla v plaintextu. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelKdyž nechcu ukládat plaintext heslo, ale jen hash, tak musím poslat heslo v plaintextu (šifrovaným kanálem) aby si server ten hash mohl vytvořit.
Nemusím.Když nechcu posílat heslo, ale hash, tak musí mít server uložené plaintext heslo aby si hash udělal sám.
Nemusím.Ale neznám auth metodu, která by fungovala s hashem jak na servru tak v komunikaci, a netrpěla na replay attack, kdy odposlech hashe je postačující pro příští přihlášení.
To umí i hloupá autentizační metoda HTTP Digest, standardizovaná v roce 1997.Vtip je v tom, že těch hashů je víc. Na serveru je uložený hash odvozený ze jména, hesla a domény. V komunikaci se pak posílá hash odvozený z prvního hashe a výzvy poslané serverem.
ČLÁNKY DO MAILU