PLAIN autentizace

Fen

PLAIN autentizace
« kdy: 16. 10. 2018, 13:30:59 »
Je v pořádku používat PLAIN autentizaci (např. na poštovním serveru), pokud veškerá komunikace probíhá přes TLS? Nebo má smysl tohle nějak řešit?


Karel

Re:PLAIN autentizace
« Odpověď #1 kdy: 16. 10. 2018, 14:00:17 »
IMO to v poradku neni kvuli MITM spojenem s pripadnym vyskytem hlouposti uzivatele.

Re:PLAIN autentizace
« Odpověď #2 kdy: 16. 10. 2018, 15:14:00 »
Při PLAIN autentizaci se server při každém přihlášení dozví uživatelského heslo. Může ho logovat, ukládat, někam poslat atd. Server přitom může ovládat zlý útočník, a nebo zlý právoplatný majitel. Proto jsou lepší takové způsoby autentizace, kdy server heslo vůbec nezná, zná jenom hash, a ani po síti se neposílá heslo, ale zase jen hash. Ještě lepší je, když ten hash posílaný po síti není ten, který si server pamatuje, ale hash toho zapamatovaného hashe. Pokud bude případnému útočníkovi k ničemu, i když získá ten hash poslaný po síti.

agent

Re:PLAIN autentizace
« Odpověď #3 kdy: 16. 10. 2018, 18:18:30 »
Přijde na to, kde se to použije.
Na diskusním fóru o vaření je to dostačující, ale pokud začne jít o peníze (obchodní, firemní, bankovní systémy), je potřeba to řešit důkladněji (viz Filip Jirsák).
Ale pokud už to bezpečnější řešení máš někde vyzkoušené a použité, není důvod použít ho i ve všech dalších projektech včetně fóra o vaření. Žádná práce navíc to pak už není.

RDa

  • *****
  • 2 465
    • Zobrazit profil
    • E-mail
Re:PLAIN autentizace
« Odpověď #4 kdy: 16. 10. 2018, 21:16:11 »
PLAIN ma smysl jenom kdyz jsou tyto 2 podminky splneny:
 - je nutno mixovat ruzne sluzby se stejnym heslem (prihlaseni do sluzby A se provadi autentizaci vuci sluzbe B)
 - pouziva se SSL/TLS vuci MITM