[ vojkanbg @ 21.02.2011. 15:44 ] @
Opisacu vam kako funcionise jedan princip autentifikacije za pristup na webemail, a vas molim da mi kazete da li je izvodljiv bez skladistenja User name i password-a (cak ni u krptovanom obliku).
Registracija
1. Unesem e-mail, ime i lozinku.
2. Na email dobijem UserCode (UC, svoj username- niz nepredvidivih 6 karaktera) i Respond Code (RC, kod za proveru servera - niz nepredvidivih 3 karaktera)
2a. Ukoliko uradim Reset Account i ponovo unesem potpuno isti email, ime i lozinku, dobicu razliciti US i RC
3a. Kada hocu da se prijavim na webmail, prvo na login stranici unesem samo UC i kliknem submit
3b. Na sledecoj strani mi se prikazuje RC kojim vrsim proveru servera, odnosno ukoliko se prikazani RC poklapa sa onim koji sam dobio na mail prilikom registracije u pitanju je pravi server i mogu slobodno da unesem pass.
3c. kada unesem pass prikazuje mi se mailbox.

Ovo ne bi bio mnogo drugaciji nacin prijave od recimo prijave na Yahoo mail sa Yahoo seal-om da nema tvrdnje da se username i password ne cuvaju nigde, cak ni u kriptovanom obliku.
Koga zanima vise informacija moze da pogleda
http://nma.com/zsentry/technology.htm