[Linux-Biella] Criptare online
Daniele Segato
daniele.bilug a gmail.com
Mar 26 Ott 2010 18:57:44 CEST
2010/10/26 Cristiano Deana <cris a deana.it>:
> puoi sempre passare un hash invece della password se non ti fidi della
> connessione.
>
> esempio:
> pass= pippo.
> tu passi '0c88028bf3aa6a6a143ed846f2be1ea4' che e' l'md5 di pippo (non
> si usa md5 ma almeno sha1). il server va a vedere se l'hash della
> password che ha nel suo db corisponde a quello.
> e la password non l'ha vista nessuno.
>
> tra l'altro NESSUNA password dovrebbe essere mai salvata da nessuna
> parte in chiaro. MAI. ma solo il suo hash. a quel punto hai
> addirittura un passaggio in meno.
esatto sottoscrivo
> p.s.
> diffidare da quei servizi che se gliela chiedi ti mandano la tua
> password. vuol dire che ce l'hanno in chiaro e che se il loro
> server/db viene violato hanno la tua password (che magrai tu usi anche
> per altri servizi).
> ripeto: mai, MAI "storare" le password in chiaro. MAAAIIII.
non avete idea di quanti prodotti "enterprise" mantengano la password
in chiaro :)
Maggiori informazioni sulla lista
Linux