Давид Мзареулян (david_m) wrote,
Давид Мзареулян
david_m

Category:
Три года назад я в своём ЖЖ задавался вопросом, как избавить сайт от необходимости знания паролей пользователей. Хотелось не хранить на сервере (а также не передавать на него, в том числе на этапе регистрации юзера) ничего такого, что, будучи украденным, позволит войти от имени пользователя.

Тогда так ничего толкового и не придумали. А на днях на Хабре появилась статья про цепочки хэшей Лэмпорта, которые именно эту проблему и решают, причём очень просто и изящно. Метод аж 1981-го года (вот что значит отсутствие (у меня) IT-образования).

Я там в комментариях предложил небольшую модификацию метода для слабых клиентов (браузеров с JS). Хотел бы узнать, нет ли в ней какой-нибудь дырки. Если нет, то это выглядит очень симпатичным решением именно для веб-сайтов. Ещё интересно, что этот протокол содержит в себе возможность смены пароля прямо при авторизации (потому что H²(P2) запросто может браться уже от нового пароля).
Tags: crypto, webdev
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 84 comments