Odhalení soli v hesle – JavaScript, AJAX, jQuery – Fórum – Programujte.com

Zdravím,

poslední dobou jsem experimentoval a napsal jsem přihlašovaní script využívající AJAX, který zažádá server o náhodné data, pomocí kterých se vytvoří unikátní hash hodnota z hesla. Ta se následně posílá zpět na server. Tím jsem chtěl eliminovat tu nevýhodu, že standardně se hesla z html formulářů posílají v textové formě a jsou tudíž "viditelné".

Ale o co mi jde. Mezi daty získané ze serveru je mimo jiné i sůl použitá k uložení hash hodnoty hesla do databáze. Sůl je tedy také potencionálně odhalitelná a mě by zajímalo, jak velký je to problém s ohledem na bezpečnost ? Je to pro útočníka stále relativně jednoduché získat originální heslo, když zná hodnotu soli ?

#1 _Radek_
V zásadě tak může útočník získat "sůl" samotnou a zjistit tak heslo, které je posílané. Jako bezpečností prvek je to tedy zbytečný prvek.

Nehledě na to, že data taháš ze serveru a až u klienta heslo "sestavuješ" - což lze povětšinou jednoduše zjistit, jak takový hash sestavuješ, v veřejného JS souboru.

Pozici útočníka tak tímto nijak nesnižuješ, toto je průhledné řešení.

Raději zakóduj data rovnou do MD5 pomocí JS f-ce md5() - bez soli, poněvadž sůl je snadné z klienta zjistit.

Pokud bych sůl posílal k uživateli nejdříve zahashovanou a byla by dostatečně dlouhá - řekněme 128 znaků + speciální znaky atd, zpětné získání soli by již bylo časově náročné nebo ne (rainbow tabulky pro tak dlouhé řetězce musejí být opravdu velké) ? A navíc by pak musel ještě získat samotné heslo. To už by mohlo laťku o něco zvýšit ...

Což vlastně nic neřeší, jen nahradím jeden řetězec za druhý ...

Tento přístup asi nemá smysl a upustím od toho, ale díky za odpověď :)