W dniu poniedziałek, 21 stycznia 2013 23:53:49 UTC+1 użytkownik Stachu 'Dozzie' K.
napisał:

> >> A po co?

> > Poza tym - dziwne pytania zadajesz.

Nie. To mnie nurtuje, bo zwykle widzę uzasadnienia, które mnie nie przekonują.

Bogusław podał scenariusz, gdzie admini/programiści naśmiewają się z haseł i to jest
powód, żeby te hasła kodować. OK, nie przyszło mi to do głowy. Myślałem, że celem ma
być ochrona przed stronami trzecimi - ale jeśli celem ma być ochrona użytkownika
przed moim własnym zespołem, to faktycznie można małym kosztem ten drobiazg załatwić.
Piszę "drobiazg", bo hasła to nie jest żaden temat do naśmiewania się - w każdym
systemie, który do czekogolwiek służy, w bazie są znacznie ciekawsze i znacznie
bardziej wrażliwe treści. Pomyśl o portalu randkowym, szpitalu, banku, itd. Naprawdę
sądzisz, że nieuczciwy admin/programista czerpałby radość z naśmiewania się z haseł w
bazie, skoro już ma dostęp do całej bazy?

Ale OK. Jest to drobiazg, ale skoro koszt jest żaden, to kupuję takie wyjaśnienie.

> Jak rozumiem, Maciek nie ma zbyt dokładnego przygotowania
> z bezpieczeństwa IT, a chciał poznać parę rzeczowych argumentów.

Dokładnie tak. Przygotowania nie mam, ale słabe argumenty, które zwykle widuję w tej
okolicy, wykrywam.
Dlatego temat uważam za otrwarty - jeżeli jest jakiś powód, żeby kodować hasła w
bazie, oprócz pozbawienia programistów frajdy z ich wyśmiewania, to nadal chętnie ten
powód poznam.

> > Skoro ludzie opracowują algorytmy
> > challenge-respone po to, żeby *systemy* *między* *sobą* nie wymieniały się
> > jawnymi hasłami,

Ja rozumiem, że wartość tych systemów nie polega na tym, że hasła nie latają na
golasa, tylko na tym, że za każdym razem lata co innego. To jest rozwiązanie zupełnie
innego problemu, którego hashowanie haseł w ogóle nie podejmuje.

> Maciek oczekiwał konkretnego powodu.

I dostałem. Ale jeśli są inne powody, to dalej oczekuję.

--
Maciej Sobczak * http://www.msobczak.com * http://www.inspirel.com