Názory k článku Půldruhé miliardy ukradených hesel? Spíše podvod kolosálních rozměrů
-
Jiří Rohlíček (neregistrovaný) ---.71.broadband2.iol.cz
zaregistrujete se, protože bez registrace nelze nakoupit, a obratem Vám robot pořle na Váš email Vaše přihlašovací údaje, tedy jméno a HESLO!
Pokud si na takový postup stěžujete, dostanete odpověď, že jde o politiku firmy a co že se Vám na tom nelíbí. :-D -
Martin (neregistrovaný) ---.starnet.cz
Opravdu je řešení tak jednoduché? Nedokážu si představit, jak by se člověk jednoduše a bezpečně přihlašoval jinak než heslem. HW přihlašovátka (usb, sms, ...) v rámci jednoduchosti a nákladů nepoužitelné, fingerprinting nepřijatelný, ...
Uživatel má sebou pouze svojí hlavu, ve které má uložené heslo/hesla. Mít cokoliv jiného, už se nepřihlásí kdekoliv, na čemkoliv. Pokud se nemůže přihlásit kdekoliv a na čemkoliv, i kdyby to bylo nejbezpečnější a nevyžadovalo by to citlivé údaje v databázi, tak stejně bude třeba řešit, aby se přihlásil alespoň nějak - heslem, a jsme zpět...Nepřu se, pouze mi není jasné kam míříte. Rád by jsem poznal technologii, která strčí heslo do kapsy a zachová přenosnost.
-
Uživatel by se dál přihlašoval heslem. Heslo se zahashuje se jménem serveru (a teprve tenhle hash se při registraci dozví server a má jej uložený). Pak se tento hash zahashuje ještě jednou výzvou, kterou poslal server, a výsledný hash se pošle přes síť. Podle něj server uživatele ověří. Přihlášení tímhle způsobem už v HTTP standardu je, je to metoda HTTP digest, nebo existují jiné metody založené na stejném principu. Navíc je takhle autorizován každý HTTP požadavek na server, takže není problém s únosem session. Akorát že reálná podpora v softwaru je všelijaká. Ale hlavně úplně chybí podpora pro odhlašování, a podpora pro registraci účtů - takže i když se používá HTTP digest pro přihlášení, pro registraci účtu se používá obyčejný formulář, heslo putuje v otevřeném tvaru přes síť a server si s ním může udělat, co se mu zlíbí.
-
To je zvláštní, jak lidé někomu dají heslo, a pak se strašně diví, že to heslo má a může ho třeba poslat e-mailem. Neměli by se spíš divit, proč mají někomu vůbec to heslo dávat? Proč v roce 2013 neexistuje webový standard, který by umožňoval vytvářet přihlašovací údaje a následně se přihlašovat bezpečným způsobem? Neustále se řeší únosy session a hashování hesel v databázi, přitom technické řešení by bylo tak jednoduché…
-
- Vývojář HW - elektronik, embedded - medical nebo šicí stroje
- Software Engineer - Back-End Developer (Java)
- PHP developer
- Web Frontend Developer
- Front-end developer/koder
- PHP/JS Developer(ka) pro Atmoskop.cz - projekt do konce roku
-
- Budujte úspěšnou kariéru v jakémkoli věku!
- Úvod do řízení kvality
- Agilní metodiky v praxi
- Psaní e-mailů snadněji a rychleji
- Agilní (r)evoluce: Jak ustát agilní transformaci
- Myšlenkové mapy pro byznys i osobní život
-
- BUSINESS ANALYST (AUTOMOTIVE ONLINE SALES & DATA SCIENCE)
- Vývojář HW - elektronik, embedded - medical nebo šicí stroje
- PHP developer
- Web Frontend Developer
- Software Engineer .NET
- PHP/JS Developer(ka) pro Atmoskop.cz - projekt do konce roku
-
- Firemní telefonování v němčině
- Tipy a triky pro Excel
- Agilní metodiky v praxi
- Agilní (r)evoluce: Jak ustát agilní transformaci
- Myšlenkové mapy pro byznys i osobní život
- Kritické myšlení 6 - Mediální gramotnost a fact-checking
