W dniu 2020-06-05 o 17:20, J.F. pisze:

> Ze skoro serwer zawsze pyta tym samym saltem, to nie musisz znac hasla -
> wystarczy odpowiedz.

Dlatego zapewne taka komunikacja wymaga wczesniej ustalenia
zabezpieczonej sesji. Czyli logowanie powinno być możliwe tylko na
stronach z kłódeczką, która to kłódeczka mogła by się pojawić dopiero
jak jest ustanowiona bezpieczna sesja.

Cały czas pomijam atak man-in-the-middle bo to jest chyba osobny temat i
nie chcę się wdawać w kolejny temat o którym mało wiem.

> Mozna by to zduplikowac - przy tworzeniu hasla serwer wysle salt1 i
> otrzyma hash1,
> przy nastepnym logowaniu wysle salt2, otrzyma hash2, i przeliczy czy
> pasuje do zapamietanego hash1 i salt1
> ... ale glowy nie dam, czy wlasnie nie otwarlem wielkiej dziury ...

Wymagałoby policzenia hash1 do tyłu, a to ma własnie być z definicji
niemożliwe.
P.G.