La situazione si riduce a questo:
- Quando accedo a hotmail, recupera i miei messaggi connettendosi ad altri provider: possono farlo solo utilizzando la mia email e la password.
- Da quando mi sono registrato un paio di giorni fa, non ho più bisogno di rimettere la mia email / password: hotmail non sa qualsiasi segreto su di me / questa sessione specifica .
Da questi punti, posso solo dedurre:
- Memorizzano una password principale derivata dalla mia password originale nei miei cookies. Quindi, quando I ritorna, lo usano per decrittografare le email.
- Lo hanno archiviato utilizzando una password principale, per sito.
Tuttavia, entrambe le soluzioni sembrano davvero deboli. Qualche idea su come implementare una connessione sicura, persistente con i cookie e la crittografia delle password?
Nota: leggi questa domanda da me sul motivo per cui sto dicendo codifica e non le password hash .