Segurança, criptografia: Desafio estúpido - Protocolo de resposta?
Ok pessoal só um pequeno jogo:
Eu tenho algumas especificações para um projeto. Em algum momento, eles pedem o seguinte para criptografar uma senha pela rede, dizendo que é um protocolo de resposta a desafios:
CLIENT ----------------------------- SERVER (1)ask for challenge --------------> (2) <---------------------------- send SHA1 taken from the time (this is the challenge) (3) make SHA1 xor PASSWORD --------> if it's equal to SHA1 xor stored password (4) <---------------------------- Grant access
Para aqueles que não sabem, SHA significa Secure Hashing Algorithm, um algoritmo padrão para criptografia.
Eu espero que seja claro. A pergunta é: Se eu cheirar os pacotes 2 e 3 (o "desafio" e o "desafio xor senha", eu tenho a senha real apenas com outro xor entre eles ambos!?!? Há outra maneira de implementar este tipo de protocolo ??