W dniu 2020-06-07 o 17:02, Krzysztof Halasa pisze:

> Nie zadbał. SSL (obecnie TLS)

Dla mnie TLS od zawsze oznaczało "Trzy Literowe Skróty". Głównie w
kontekście zauważenia, jakie one się zrobiły popularne.

>> Hash powinien być liczony w komputerze użytkownika.
>
> I co dalej? Wystarczyłoby uzyskać ten hash (np. z jakiegoś serwera),
> i następnie używać go zamiast hasła.
> Przecież nie trzeba liczyć hasha,
> można użyć znanego - to się dzieje pod kontrolą atakującego, na jego
> własnym komputerze.

Ale ten hash jest dobry tylko dla tego jednego serwera. Skoro ten serwer
został tak zaatakowany, że ktoś wydobył te hashe to ten serwer już i tak
jest stracony.
Mi chodzi o to, żeby zaatakowanie jednego serwera nie dawało nic w
stosunku do innych.
Przy takiej organizacji według mnie nie powinno być żadnych
przeciwwskazań aby użytkownik posługiwał się jednym hasłem do wielu
serwerów.
Znaczy jakieś by się znalazły, ale potencjalny wyciek danych z serwera
nie byłby takim przeciwwskazaniem.

>> Hash powinien być liczony w komputerze użytkownika. Hasło nigdy nie
>> powinno być przesyłane do serwera.
>
> Niestety tak się nie da dobrze zrobić. Jeśli idziemy w tym kierunku, to
> racjonalne jest użycie kryptografii asymetrycznej,

Żałuję, że za słabo 'czuję' asymetryczna, aby wdawać się w dyskusje.
P.G.