Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rbd72j$jke$1$P...@n...chmurka.ne
t...
W dniu 2020-06-04 o 22:07, Alf/red/ pisze:
> W dniu 04.06.2020 o 19:45, Piotr Gałka pisze:
>>> Klient powinien móc stosować ten sam login i hasło do wszystkich
>>> systemów i wyciek danych z dowolnego z nich nie powinien dawać
>>> żadnych szans zalogowania się za pomocą tych danych do innego
>>> systemu.
>
>> To jest możliwe, jeśli te systemy by stosowały 2FA, czyli coś
>> dodatkowego. Np. klucz sprzętowy (niebezpiecznik sprzedaje po
>> 150zł) albo aplikację w smartfonie.

>Nie wiem co to 2FA, ale uważam, że spełnienie mojego postulatu nie
>wymaga żadnego dodatkowego sprzętu.

>System wysyła do komputera użytkownika swoją sól. Komputer
>użytkownika hashuje jego login+hasło+sól i to odsyła do systemu I
>tylko to system zna (czy zna login, czy nie - nie wnikam - ważne, że
>hasła nigdy nie widzi).

No ... dawniej to sie troche klocilo z idea www.
Jest przegladarka i tego nie potrafi. Musialbys napisac osobny program
do obslugi.

Teraz i tak to nie jest przegladarka www, tylko skomplikowany program
w JS, wiec mozna by wrocic do pomyslu.

>W czasie definiowania hasła to też komputer użytkownika ma sprawdzić,
>czy wpisane dwa razy jest takie samo i czy spełnia ewentualne
>dodatkowe wymagania narzucone aby zapobiec stosowaniu haseł typu
>1234. Po sprawdzeniu liczy hash i tylko to trafia do serwera.

A to troche klopotliwe, bo musisz te wszystkie sprawdzenia przeslac na
komputer klienta.
Wiec wcale nie dziwne, ze sprawdza serwer.

W dodatku ... jedno haslo do wszystkiego, i moze nawet jeden login ...
myslisz sobie, ze zrobili to poprawnie tak jak wyzej, a jeden serwer
wcale nie, hackerzy go przejmuja i lezysz na calej linii.
Albo nie przejmuja, tylko zakladaja :-)

J.