Administrace komentářů

má, součástí bezpečnosti je i důvěra.

Ovšem důvěra a bezdůvodné spoléhání na to, že tohle se mi nelíbí tak se to nestane, to jsou dvě zcela odlišné věci.

pročpak ne, to že věřím, že systém se chová nějak ještě neznamená, že věřím tomu, že nemůže systém být napaden a DB zcizena, nebo že se do DB podívá neoprávněná osoba při servisním zásahu, nebo někdy se vyskytne záloha či si to vyžádá policie apod.

Když může být systém napaden, může si tam útočník nainstalovat program, který bude hesla ukládat. Jaký je v tom z pohledu uživatele rozdíl? Nebo co když se ta hesla ukládají omylem, někdo třeba nechal zapnutou vysokou úroveň logování. Rozdíl je jen v tom, zda uživatel o ukládání ví nebo ne. To přece ale není rozdíl v bezpečnosti.

Hesla uložená v plaintextu než hesla uložená jako hash, jsou vyšší riziko, o kolik „nelze stanovit z placu“ ale lze to vyjádřit libovolným koeficientem větší než jedna.

Jenže tady se nebavíme o tom, jak hesla jsou uložená – zda nejsou uložená i v otevřeném tvaru totiž nikdo neví. Takže celou dobu řešíme jen případ, že si uživatel myslí, že jsou data uložená v otevřeném tvaru, nebo si myslí, že jsou uložené jejich hashe. Podle vás v tom je rozdíl, podle mne není, protože když nevím skutečný stav, musím předpokládat tu nejhorší možnou variantu, a tou jsou v obou případech hesla uložená v otevřeném tvaru.

stavíte na roveň přenos a permanentní uložení

Já to nestavím na roveň. Já jenom vím, že když už k někomu to heslo doputuje, má možnost ho uložit – ať už záměrně, nebo chybou. Vy spoléháte na to, že jsou všichni kolem hodní a neomylní, a když vám někdo bude tvrdit, že ta hesla neukládá, budete mu to věřit. Kdyby tady Luboš nenapsal, že hesla neodpovídají, ale napsal by, že hash vytvořený z hesla neodpovídá, někteří lidé tady v diskusi by si pochvalovali, jak se zvýšila bezpečnost jejich hesel. Přitom fakticky by to bylo pořád stejné.

I když se 20 let nepřihlásíte na server, tak je zde 20let kdy někdo může přečíst vaše heslo.

Oproti dvaceti letům, kdy někdo může přečíst mé heslo. Nemůžu si pomoct, ale je to to samé. Nevnesl jsem to sem já, ale vy.