Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Filip Jirsák - Nikoli. Podívejte se třeba na HTTP Digest (primitivní...

Nikoli. Podívejte se třeba na HTTP Digest (primitivní řešení, ale po aktualizaci hashovacího algoritmu by to pořád bylo milionkrát bezpečnější, než posílat heslo v otevřeném tvaru). Pak existují komplikovanější metody, které ale mají proti Digestu další výhody – např. SCRAM. Při použití SCRAMu ani údaje uložené na serveru nestačí k úspěšnému přihlášení, nebo-li i pokud by ze serveru unikla databáze přihlašovacími údaji, nepůjde ji zneužít ani pro přihlášení přímo na ten server. Samozřejmě nepíšu o útoku hrubou silou – tam je jedinou systémovou obranou to, že útočník musí hádat každé jednotlivé heslo zvlášť, a dál už pomůže jenom silné heslo.

Mimochodem, když píšete o tom offline bruteforce útoku, zase jste zapomněl na to, že dnes se heslo posílá v otevřeném tvaru. Nemyslím si, že byste našel ještě méně bezpečné řešení.