jelszavaknal ez pont nem (olyan nagy) problema, mert a specialis karakterek (jo esetben) ki vannak zarva, igy joval nehezebb utkozest talalni.
Amugy en igy csinaltam egy protokolban:
1. A szerver ismeri az SHA-1 hash-t a jelszorol es general egy random 64 karakteres stringet, amit atkuld a csatlakozni kivano kliensnek.
2. A user beuti a jelszot es a kliens program legeneralja az SHA-1 hash-t.
3. Az elobb generalt hash-hez hozzadobja a random stringet ES az egeszrol keszit egy MD5 hash-t. A szerver is elvegzi ugyanezt.
4. A kliens atkuldi az MD5 hash-t a szervernek.
5. A szerver osszeveti a ket hash-t es ha egyeznek akkor beenged.
Nem tul egyszeru es valoszinuleg nem is tokeletes, viszont a bejelentkezes mehet titkositatlanul, a jelszavak sehol sincsenek letarolva, es a replay tamadasok sem fognak rajta.