Az adott oldalra valóban beléphetnek, de hashelés nélkül az összes oldalra beléphetnek, ahol az user ezt a jelszót használta. Szerintem nyugodtan feltételezhetjük, hogy az userek 90+%-a ugyanazt a jelszót használja a legtöbb oldalra. A jelszó hashelt tárolásának is ez az egy oka van.
Fasza, de eléggé szűk a köre a hash algóknak (és jó esetben a randombt.hu nem talál ki saját kriptót... ugyebár). Vagyis ha ugyanazt a jelszót használja, akkor lesz kb. 5 kategóriányi oldal, amik közül az egyik kategóriába (ahol ugyanaz a hash van) a törött proxyból kiszedett "már-nem-jelszó-de-újra-jelszó"-val be lehet lépni.
Ha a leakelt jelszavak újrafelhasználása ellen akarsz védekezni, akkor használj jelszókezelőt és mindenhol random jelszót. Vagy mindenhol TFA-t/MFA-t. Vagy valami id szolgáltatót (google, facebook, ...).
--
Egyébként abban kiegyezhetünk, hogy a G legalább időnként figyel arra, hogy távolról védhető legyen az auth rendszere, igaz? Akkor ők miért plaintext jelszót küldenek loginkor, ha "dehátahasheltbiztonságosabb"?
És továbbra is: tudtok akár csak egy oldalt mondani, ami kliensoldalon hasheli a jelszót?
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)