> Az a gond vele hogy ezek nem hash-t kérnek hanem plain text jelszót - az egy nagyon jó kérdés hogy miért van szükségük plain text jelszóra egy lookup-hoz.
Vonatkoztassunk el attól, hogy a webes lookup oldalak hogyan működnek. A bank nem őket hívná direktben.
> Amikor a usered megadja a jelszót, akkor ezt neked még kliens oldalon illik hashé változtatnod, onnantól pedig nem fogod tudni lookup-olni.
Tévedés. A publikus dumpból kijön a cleartext jelszó. Ekkor a banki robot megpróbál belépni avval a jelszóval. Teljesen ugyanúgy, mintha a rosszember lépne be. Csak meg kell őt előzni.
> A másik probléma hogy a usert tájékoztatnod kell arról hogy az általa megadott jelszót elküldöd valahova, ami csinál vele valamit.
Nem. A jelszót a bank szerzi be a feketepiacról, és rápróbál a saját bejelentkezési felületén, saját magának küldi.