- Rossz esetben meg nem.
- Mit akarsz bruteforce-szolni? A 160b-es szamot megtippelni az tehetseg. :)
- A tokent vegig titkos adatkent kell kezelni, egy ilyen hash-t nem.
- De nem a jelszo SHA1-et kuldozgeti, hanem a SHA1(urlencode(request) + SHA1(jelszo))-t ami allatira nem ugyanaz. Vedd eszre, hogy ez mas request eseten mas eredmenyt ad, igy a jelszo megtalalasahoz ket SHA1 preimage attack kell. Tulajdonkeppen ez egy HMAC szeru konstrukcio akar lenni, es akar biztonsagos is lehet ha a request-ben van olyan adat (pl. ido) ami kizarja a replay atack-eket.