Witam - probuje stworzyc system rejestracji uzytkownikow na stronie jak najbardziej bezpieczny ale nie wykorzystujac do tego ssl.
W związku z tym stworzylem sobie taki plan przebiegu rejestracji jednak nie wiem czy napewno on jest bezpieczny te pytanie chcialbym skierowac do kogos kto sie zna tym.
A wiec :
Przy rejestracji uzytkownik wpisuje login i haslo. W javascripcie haslo replikuje(aby bylo wieksze niz 9 znaków) i hashuje sha1 i przesylam na server.
Natomiast przy logowaniu replikuje haslo i hashuje. potem tworze tzw. losowa sol z zakresu powiedzmy 0-99999 i znow hashuje to z sola po stronie klienta. Przesylam haslo w postaci xxxhashxxxxx-sol. Po przesłaniu pobieram sol i dolaczam sol do hasha ktory byl na serverze. Jesli sie hashe zgadzaja logowanie jest prawidlowe.
Teraz mam pytanie jesli tak w kolko bede dodawala losowa sol natomiast haslo bedzie te same. Po jakims czasie bedzie mozna ustalicz pierwotny hash? Bo w tym przypadku tylko sol sie zmienia.
Co sadzicie o tym systemie? Moze ktos ma inna propozycje systemu logowania - bezpiecznego bede wdzieczny za prezentacje.