<!–texy–>Diky za clanek ;-) Tohle jsem hlidal.

<!–texy–>Pokud se už někdo dostane do databáze, nejspíš mu nebude dělat problém změnit heslo tak, aby i jeho nehashovanou formu znal.

Další problém je když běžný uživatel zapomene heslo, pak se to musí řešit přes nějaké náhradní, a to je i pro uživatele dost otravné.

[3] Jak bylo popsáno v článku, SQL Injection, :D

A ako by si asi chcel zistit ten HASH ??? Tak to by ma zaujimalo :-D

Prisla mi velmi zajimava poznamka o tom, ze uzivatele pouzivaji vzdy stejna hesla pro vice sluzeb. Nejlepsi zpusob, jak prolomit heslo uzivatele je nechat si ho od nej rict. Jako je tomu napriklad na sluzbe borec pro studenty VSE, kam se uzivatele hlasi svym xname, ktery se taktez pouziva pro prihlaseni do skolni site. Zajimalo by me, kolik lidi se uz zkouselo prihlasit do teto aplikace heslem pro pristup k siti VSE :), pak uz administratorovi borce staci si je jen precist.

hashovat hesla je absolutní minimum pro zvýšení bezpečnosti. Do mnoha aplikací se dá přihlásit pouze se znalostí hashe hesla.

Čekám až napíšeš něco o generování klíčů pro každou uživatelskou session :)