Доверить хэш?

[typechecker]

Вопрос пользователям zmeyandexa. Для индексации комментов и создания "Анатомии Журнала" системе нужен хэш пароля. Овчинка выделки не стоит? Или, наоборот, хэш можно давать кому хошь и ничего плохого не будет?

Comments

[yonyonson.livejournal.com]

В livejournal md5 hash пароля это точно тоже самое, что сам пароль – им тоже можно авторизоваться как lj user.

[fli.livejournal.com]

будет

по крайней мере, раньше можно было авторизоваться по паролю, а можно - по хешу, ха-ха
то есть хеш просто труднее запомнить

[p_govorun.livejournal.com]

Когда вы вводите пароль в броузере, первое (и единственное) что с ним делается -- он преобразуется (там же, в броузере, с помощью javascript) в хэш. А потом из этого хэша делается нечто, служащее для авторизации. Так что хэш -- это всё равно, что пароль.

На эту тему было большое обсуждение месяц назад, когда кто-то взломал кучу журналов.

[mashaaaa.livejournal.com]

Я видела какие-то хвосты этого обсуждения, но взламывали журналы вроде не только у тех, кто пользовался змеяндексом. Впрочем, все равно вы меня уже убедили, что нафиг он нужен - сохранность данных дороже.

[p_govorun.livejournal.com]

Там, похоже, просто подбирали тривиальные пароли. Но в процессе обсуждения выяснилась и ситуация с хэшем.