Nějak mi není jasné, jak fungují
hashed passwords na non-SSL zabezpečení. Zkusím nastínit, o co mi jde, a budu vděčný za případné vysvětlení nebo odkaz
Příklad: fórum podobné tomuto, uživatelé. Je vůbec možné přenosy jejich hesel zabezpečit tak, aby nemohlo dojít ke kompromitaci hesel (příp. autentizace) útočníkem, který
odchytí registraci uživatele? Přijde mi, že ne, protože:
- ať už je posílané heslo při registraci čisté (heslo) nebo hashed (hash(heslo)), následné přidání saltu při autentizaci je už neúčinné, protože útočník má stejné informace jako server (hash(heslo+salt), příp. hash(hash(heslo)+salt))
- pokud by se při registraci poslalo heslo již se saltem, neměl by jak server při autentizaci s jiným saltem výsledky porovnat (za předpokladu, že neukládá hesla v čisté formě, což předpokládám)
Smysl tohoto zabezpečení by byl jen tehdy, pokud by útočník znal jen komunikaci PO registraci. I tak ale v případě přihlášení a zvolení možnosti "Přihlásit: vždy" by mělo stačit odchytit údaj typu
session_id.
Je to tak, nebo mi něco uniká?