<div dir="auto">Nice to get to hear this. However, the password is not stored in clear text here. How then does it work? </div><br><div class="gmail_quote"><div dir="ltr">On Fri, Dec 21, 2018, 00:58 Joseph Tam <<a href="mailto:jtam.home@gmail.com">jtam.home@gmail.com</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, 20 Dec 2018, Odhiambo Washington wrote:<br>
<br>
> At the expense of sounding stupid, could you please expound on the<br>
> sequence? :)<br>
<br>
In a nutshell, during protocol handshake, the server gives the client<br>
a random string (nonce).  Both the server and client performs a<br>
cryptographic hash of nonce+password, and the client tells the server<br>
the result of the hash, and the server compares the client's result with<br>
its own.  If the results match, it proves the client has knowledge of<br>
the password.<br>
<br>
The strength relies upon cryptographics hashes not being invertible.<br>
It's one way of protecting password from sniffing when you can't use SSL.<br>
However, there's many weaknesses: the password must be kept on the server<br>
in plaintext, offline brute forcing, etc.<br>
<br>
Joseph Tam <<a href="mailto:jtam.home@gmail.com" target="_blank" rel="noreferrer">jtam.home@gmail.com</a>><br>
</blockquote></div>