Sunt o persoană tehnică și înțeleg argumentul prezentat în întrebare. Dar înainte de a începe să mă alătur cu aceste argumente pentru a afirma insecuritatea sistemului de stocare a parolelor, trecut sau prezent, ar trebui să fiu convins că atunci când 28 de caractere ASCII sunt acceptate, o parolă tastată cu o eroare peste 20.th caracterul a fost refuzat. Dacă nu, este absolut posibil ca de la origine doar primele 20 de caractere ale parolei să fi fost semnificative, iar aceasta este acum impusă limită, iar pentru restul parola a fost și este stocată corect prin hașare a parolei.
Nici atunci, nu voi fi convins „că parola este stocate în câmpie". Este cu totul posibil ca acum parola să fie stocată corect prin hașarea parolei, cu conversia dintr-un format vechi într-unul nou atunci când parola sau primele 20 de caractere sunt folosite pentru prima dată în noul sistem. conversia fără întreruperi de la formatul de parolă moștenit la nou este o procedură standard.
Nici nu voi fi convins că parola a fost depozitat în câmpie.Este absolut posibil ca parola să fi fost stocată criptată cu o criptare reversibilă și o cheie secretă. Acest lucru nu ar fi corect codificat cu parola, dar totuși mai bine decât „în câmpie” (și chiar destul de satisfăcător dacă decriptarea și manipularea parolei are loc numai într-un mediu securizat, cum ar fi un HSM).
Nu spun că este imposibil să folosești „trucuri mentale Jedi” și să convingi persoana juridică de ceva, așa cum s-a făcut pentru certificarea unui avion. Dar asta e ceva ce nu accept. În afară de asta, e în afara subiectului.
