همیشه فکر میکردم که سایت هایی که در آنها اکانت میسازیم پسورد های ما را به صورت hash شده نگهداری می کنند تا در صورت لو رفتن دیتابیسشان پسورد های ما به دست شخص سومی نیافتد ولی به ۲ دلیل "معتقدم" که همه سایت ها اینگونه نیستند
۱-تغییر پسورد : بعضی سایت ها هنگام تغییر پسورد(کلمه عبور بگیم بهتره؟) بهمون هشدار میدن که این پسورد مشابه قبلی هست و به اندازه کافی برای استفاده امن نیست و البته میدونیم که اگر پسورد قبلی به صورت هش ذخیره شده باشد این امکان وجود ندارد که مشابهت پسورد ها بررسی شوند
۲−آمار پسورد های پر استفاده هر ساله منتشر میشود که گواه این است که پسورد های ما (حداقل برای مقاصد آماری) جایی به صورت plain text ذخیره میشوند..حال چطور می توانیم مطمین باشیم که با username است یا به صورت بینام ؟!
پ.ن۱: این مطلب صرفا نظر شخصی من و یک یادداشت ساده است
پ.ن۲: در این لینک اطلاعات خوبی یافت میشود مثلا اینکه یکی از راه های ذخیره پسورد با encryption است نه لزوما هش
سلام
1) چرا امکان مطابقت وجود داره. هیچ تفاوتی با حالت تطابق لاگین نداره و فقط کافیه که هش پسورد وارد شده با هش ذخیره شده از نظر تشابه چک بشه
2) این و راستش واسه خودمم سواله :)