Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rbdmls$thv$1$P...@n...chmurka.ne
t...
W dniu 2020-06-05 o 16:33, J.F. pisze:
>>> Powinno być wystarczająco niemożliwe. Poza tym salt może też być
>>> dla każdego klienta inny, generowany na podstawie jakichś danych
>>> danego sklepu i jawnego loginu klienta.
>
>> Tylko, zeby sie nie okazalo, ze zawsze taki sam, to mozna
>> podsluchac i uzyc w przyszlosci.

>Raczej musi być taki sam bo jak wtedy weryfikować hasło.
>O ile wiem to z założenia salt jest jawny. Na czym polegało by użycie
>w przyszłości.

Ze skoro serwer zawsze pyta tym samym saltem, to nie musisz znac
hasla - wystarczy odpowiedz.

Oczywiscie jak rozumiem to w Twojej idei salt bedzie indywidualny dla
serwera i usera,
wiec jak podsluchasz jedna odpowiedz, to zyskujesz tylko dostep do
tego jednego usera i serwera.

Mozna by to zduplikowac - przy tworzeniu hasla serwer wysle salt1 i
otrzyma hash1,
przy nastepnym logowaniu wysle salt2, otrzyma hash2, i przeliczy czy
pasuje do zapamietanego hash1 i salt1
... ale glowy nie dam, czy wlasnie nie otwarlem wielkiej dziury ...

J.