Je hebt een klacht over de onderstaande posting:
Als de implementatie net zo is als die in Chrome, waarmee dus de anonymity implementation gebruikt wordt, dan zie ik er weinig gevaar in. https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/ In dat geval gaat namelijk niet de hele hash over de lijn heen, maar dus alleen de eerste 5 chars. Daarna is het aan de client om te implementeren en te controleren dat de daadwerkelijk ingevoerde hash niet overeen komt. Daar is wel wat op af te dingen. Stel je hebt 3 wachtwoorden, eerste 5 posities worden verstuurd: 1: aaaaa[aaaaaaaaaaaaaaaaaaaaaaaaaaa] 2: bbbbb[bbbbbbbbbbbbbbbbbbbbbbbbbbb] 3: ccccc[ccccccccccccccccccccccccccc] Google (of MS) doet look-up en stuur alle wachtwoorden die matchen op aaaaa, bbbbb en ccccc terug, bijvoorbeeld 3 potientele wachtwoorden per stuk. Clientside wordt vastgesteld dat 1 van de 3 opties voor aaaaa klopt. Deze wijzig je: nieuwe hash is dddddddddddddddddddddddddddddddd. Volgende keer dat je een check doet wordt niet aaaaa maar ddddd verstuurd. Daarmee weet Google ...
Beschrijf je klacht (Optioneel):