W dniu 2020-06-07 o 17:07, Krzysztof Halasa pisze:
> Piotr Gałka <p...@c...pl> writes:
>
>> System wysyła do komputera użytkownika swoją sól. Komputer użytkownika
>> hashuje jego login+hasło+sól i to odsyła do systemu I tylko to system
>> zna (czy zna login, czy nie - nie wnikam - ważne, że hasła nigdy nie
>> widzi).
>
> Czyli w gruncie rzeczy ten hash jest hasłem, które wystarcza do
> zalogowania. Innymi słowy, znów przechowujesz niezaszyfrowane hasło
> w bazie serwera, każdy kto je przejmie itd.

Jednak są pewne, kluczowe różnice:
- hash jest znacznie dłuższy od hasła użytkownika (nie da się zaatakować
ani siłowo, ani słownikowo),
- jest inny w każdym serwisie nawet jak użytkownik używa tego samego hasła.
P.G.