Vlákno názorů k článku Otázky pro získání zapomenutého hesla? Fatálně nebezpečná záležitost od Honza - V plain textu se valej s velkou pravdepodobnosti....
-
Já předpokládám, že drtivá většina jich v plaintextu bude. Někdy obnovení hesla přes bezpečnostní otázku řeší živý operátor, kterému odpověď řeknete a on ji porovná s tím, co vidí v databázi - proto musí znát její původní znění. I v ostatních případech je potřeba (podle konkrétní otázky) určitá benevolence při vyhodnocování (ignorovat rozdíly v malých a velkých písmenech, ignorovat pořadí slov apod.), takže je opět potřeba znát původní vstup.
Navíc je naivní předpokládat, že když serveru poskytnete nějaký údaj, že ho server bude hned hashovat nebo šifrovat. Buď tomu serveru věříte, a pak nemáte problém s tím, že to ukládá v otevřeném tvaru. Nebo mu nevěříte, a pak mu ten údaj v otevřeném tvaru přece vůbec nemůžete poskytnout.
-
l0l (neregistrovaný)
pokud me sluzba nuti nastavit jakesi bezpecnosti otazky, tak neni nic jednodussiho nez na jakoukoliv mit proste defaultni odpoved. takze na otazku, vase njeoblibenejsi jidlo ci na co chcipnul vas pes bude odpoved puntikaty hrnicek a nikdo nema sanci. stejne jako na hesla pouzivat nesmyslne spojeni vice slov, napriklad Chlupata_zaba_007 nebo 1x_Makova_strouhanka - jednoduse zapamtovatelne, velke pismeno, specialni znak, cislo, dostatecne dlouhe a rozhdne zadnym slovnikem netrefitelne a socialni inzenyr je taky mimo ikdyby vam stal za zadkem 24/7.
