تجزیه و تحلیل فنی شما منطقی است ، اما یک فرض اساسی نقص دارد. هدف از هشی کردن نیست برای کمک به افرادی که همان رمز عبور را در بسیاری از سایت ها به اشتراک می گذارند. این یک امر مطلق است و نباید مورد تشویق و حمایت قرار گیرد.
هدف اصلی هشی کردن محافظت از رمزهای عبور در برابر حملات آفلاین است. اگر مهاجمی قادر باشد دسترسی به هش رمز عبور را به سرور بدهد ، باید نتواند آنها را به صورت آفلاین و کرک کند. مطمئناً ، اگر کاربر بهترین کار را انجام ندهد و دوباره از پسورد در سایت های مختلف استفاده کند ، این حتی بدتر نیز خواهد بود ، اما در نهایت تقصیر کاربر است.
رویکرد شما ، با حس و حال در سمت مشتری ، سیستم را تا آخر عبور می کند – حمله هش ، در جایی که شما نیازی به رمزعبور واقعی ندارید بلکه می توانید فقط با ارسال مقدار hash تأیید اعتبار کنید.
با بیان اینکه سرور هرگز رمز واقعی را نمی بیند ، اگر مشتری آن را فشرد ، شما از نظر فنی درست هستید . اما ، هنگام استفاده از این طرح ، هش در واقع رمز عبور است.
