Pořád je to chyba především autorů webových prohlížečů a webových standardů. Primární chyba je v tom, že prohlížeč vezme heslo uživatele a bez sebemenšího varování ho předá webové stránce a pak serveru. Bezpečné heslo je jedině takové, které nezná nikdo jiný než uživatel a jeho důvěryhodná zařízení.
Problémy s úniky hesel nepřestanou do té doby, než autoři prohlížečů nezačnou brát bezpečnost vážně, nezačnou pro přihlašování a registraci uživatelů vyžadovat alespoň HTTP Digest (nebo raději něco modernějšího) a nebudou velmi rychle tlačit na označení formulářového pole password jako nebezpečného.
Svalovat vinu na uživatele je akorát alibismu, nikdo si neodkáže zapamatovat stovky unikátních hesel, a neexistuje snadno použitelná infrastruktura pro použití správců hesel. Už jenom jejich integrace do desktopového prohlížeče je všelijaká, správce hesel se pokouší uhodnout kdy heslo zadáváte a kdy ho měníte, někdy se mu to podaří a někdy ne.
s alibismem souhlas, správce hesel je jen dočasné řešení, cesta je úplně zrušit hesla.
HTTP digest se nikdy nezačal moc používat, protože žádný prohlížeč ho neměl uživatelsky naimplementovaný, nebyl jednoduše konfigurovatelný a zaháčkování md5 byla brzda už i v počátcích, nic novějšího nikdy nevzniklo.
Obecně mi vyhovuje způsob, kdy mi autorizaci potvrdí jiná pro mě důvěryhodná služba. V praxi třeba přihlášení přes oauth, kdy nemusím zadávat heslo. Nebo stejně jako u Applu, kdy nové zařízení v icloud potvrzuji z jakéhokoliv již autorizovaného zařízení.
Bez hesla se dá udělat i první přihlášení, stačí potvrdit autorizaci přes odkaz v emailu nebo stejně jako potvrzuji práva pro aplikace na mobilních telefonech.
K úplně prvnímu přihlášení nějaké heslo potřebujete – když si budete zakládat svůj první e-mail, nemůžete použít autorizaci přes dokaz v e-mailu.
To, že je HTTP digest implementovaný v prohlížečích různými způsoby na škále od špatné až po hrůzostrašné, že k tomu neexistuje podpora pro registraci a že to nepoužívá novější algoritmy než MD5 je právě chyba tvůrců prohlížečů. Princip je známý a jednoduchý, jediný „problém“ je trošku to zmodernizovat a hlavně implementovat. Navíc by tím odpadly všechny ty problémy s únosem session (na které trpí i autentizace třetí stranou), protože tam je prostě autentizován každý jednotlivý požadavek.
Neni to treba snaha GitHubu zakryt nejaky dalsi uspesny utok jako tento https://www.zdrojak.cz/clanky/aktualne-tak-nam-hackli-github/ ? Duverhodnost te sluzby jako uloziste uz asi jak SourceForge ...