W dniu 2020-06-04 o 22:07, Alf/red/ pisze:
> W dniu 04.06.2020 o 19:45, Piotr Gałka pisze:
>> Klient powinien móc stosować ten sam login i hasło do wszystkich
>> systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
>> szans zalogowania się za pomocą tych danych do innego systemu.
>
> To jest możliwe, jeśli te systemy by stosowały 2FA, czyli coś
> dodatkowego. Np. klucz sprzętowy (niebezpiecznik sprzedaje po 150zł)
> albo aplikację w smartfonie.

Nie wiem co to 2FA, ale uważam, że spełnienie mojego postulatu nie
wymaga żadnego dodatkowego sprzętu.

System wysyła do komputera użytkownika swoją sól. Komputer użytkownika
hashuje jego login+hasło+sól i to odsyła do systemu I tylko to system
zna (czy zna login, czy nie - nie wnikam - ważne, że hasła nigdy nie widzi).
W czasie definiowania hasła to też komputer użytkownika ma sprawdzić,
czy wpisane dwa razy jest takie samo i czy spełnia ewentualne dodatkowe
wymagania narzucone aby zapobiec stosowaniu haseł typu 1234. Po
sprawdzeniu liczy hash i tylko to trafia do serwera.


> Banki u nas poszły we własne apki, i chyba
> żeście o tym zapomnieli bo wszyscy dodali swoje komputery jako zaufane.

Nie prawda. Nie wszyscy. Co najmniej jedna osoba (ja) nie dodała żadnego
komputera jako zaufanego.
P.G.