Citat:
Originally posted by Brazzan@Jan 31 2008, 18:33
Håller med SimonP.
Jag vill inte att någon med vanliga men ska kunna se mitt lösenord, inte ens adicate. Det ska vara hashat och saltat. <-- punkt
Sen om någon lyckas få tag i databasen och knäcka det hashade lösenordet är det en annan sak.
|
jamen det är ju det som är frågan som varit på tapeten i media ett tag: att en hacker just får tag i databasen. Då var min ståndpunkt att hellre ha ett krypterat lösenord än en hash. Och det spelar alltså ingen roll om du saltar ditt password med hela nationalencyclopedin när det alltså finns oändligt antal andra strängar som producerar samma hash (för den hacker som vill ta sig in den "normala" vägen vill säga).
Men det går ju att undvika att personer (läs: administratörer) ser ditt password även då det är krypterat för det krävs ju nycklar och annat kraffs för att kryptera upp ett password, och dessa är lika "hemliga" (eller synliga) som ett saltvärde i källkoden för den som har kompetens att kolla där.