Názor ke zprávičce NÚKIB aktualizoval minimální požadavky na kryptografické algoritmy od Uncaught ReferenceError: - koukám, že máš pořád potřebu rozporovat každé slovo...
-
koukám, že máš pořád potřebu rozporovat každé slovo :).
s UTF-8 máš pravdu. Nejde jen o české znaky, ale např. české banky často používají i cizinci a ti mají často svá hesla v různých jazycích.
Tak solení a pepřování je běžný způsob, který tyhle aplikace automatizují.
Asi není nejlepší volba slova "algoritmus", už bylo použito v článku, tak jsem ho zachoval, v tomhle kontextu to tožit zároveň znamená použít ověřenou implementaci. Samotné hashovací algoritmy nejsou v žádném případě "méně podstatnou částí", ale kritickou části, jen nejsou pro posouzení bezpečnosti dostačující a je nutné řešit celý proces, to správně zmiňuješ.
Právě proto existuje prehashing a tyhle algoritmy s ním počítají, teda až na bcrypt, tomu podle některých zrovna nesvědčí.
Důvod proč se na backendu musí hesla, tokeny hashovat není jen to, že nechceš vidět heslo uživatele, ale zároveň nechceš, aby se dala využít uniklá databáze k přihlašování a tím je mohl kdokoliv okamžitě zneužít. Tohle nezmění ani chystaný Passkey, stejně bude nutné všechny identifikační hesla/tokeny hashovat.
