Ja, sejtem, hogy mit szeretnel:
C = H($pass + $key), H egy hash algoritmus, $pass a juzer jelszava, a "+" a sztringkonkatenacio, a $key meg egy szerver oldali kulcs, ami minden juzernel ugyanaz. Szerver oldalon tarolod juzerenkent a C-t es globalisan a $key-t.
Ezzel 2 gond van:
- a jelszotarolo modszerek tipikus attack modelje, hogy a tamado legalabb egyszer le tudta dumpolni a teljes rendszert. Ha a jelszo hasheidet nem tudtad megvedeni, akkor a $key-t miert tudnad?
- ugyanazon jelszavak hash-e is ugyanaz lesz. Ha a tamado tud sajat usert regisztralni, akkor ez rogton jo dictionary attack-re.
--
"You're NOT paranoid, we really are out to get you!"