Но если я правильно понимаю, то с вашей точки зрения, обычная форма логина с сегодняшнего дня перестала быть безопасной?она никогда и не была таковой!
шифрованияну что ты заладил!))
либо злоумышленник может их подменить на своихорошо, что заметил! Не забыть про подпись всех post-пакетов!
Если же мы говорим о взломе сервера и угоне хэшей - если хэшей не будет совсем, злоумышленник получит все пароли сразу. Даже просто засунутые в md5 пароли уже потребуют от него минимальной квалификации, а сделанные "правильно (соль + злая функция)" - практически лишат шансов на успех.
Но при этом, я бы хотел иметь перечень имен и компаний - для пополнения стоп листа.
Bavashi, о, еще один (вы) не понимает разницы в векторах атаки.
хэширование пароля на клиенте делают не для того, чтобы его украли по дороге на сервер (MITM).
Это делают для того, чтобы на сервере пароль никогда не появлялся даже при регистрации.
при правильном использовании HTTPS, пароль может утечь только с сервера.Не только!) Ещё есть браузер, расширения браузера, память и т.д.
Все эти меры защиты только снижают вероятность и размер ущерба.
Если у пользователя одинаковый пароль на вашем и на чужом сервисе и злоумышленник узнал пароль пользователя на чужом сервисе, то чем «все эти меры» помогут пользователю на вашем?ничем, если тот сервис уже не сделал хеширование.
вы привели ссылку на новость.
В приведенной ссылке выше у вас отмечено 71% по исследованию Lawless Research, TeleSign
Цель новости - реклама google password manager
всего лишь показаны данные соц. опроса из 3.5к