Viviamo in un mondo in cui il riutilizzo delle password è comune e la maggior parte degli utenti di Internet non utilizza gestori di password, mentre gli hack e le violazioni stanno diventando più comuni. L'importanza di tali violazioni non consiste solo in un accesso al sito Web compromesso, ma in un dato di fatto le password trapelate vengono comunemente riutilizzate per i social media, le e-mail o il conto bancario e per accedere a tutti i tipi di informazioni vulnerabili che possono causare il caos vita. La domanda riguarda i vantaggi del lato client per l'utente normale, non quello altamente istruito.
Ci sono vantaggi per la sicurezza dell'hashing sul lato client, quando combinato con TSL, con hashing strong lato server e tutti gli altri tipi di misure di sicurezza?
Ho letto su più post, che
client-side hashed password becomes the password.
e quello
ssl solves all problems during transportation
Ma provo ad immaginare uno scenario in cui la password non può mai essere letta nemmeno da qualcuno che controlla il server.
Ma non c'è un vantaggio nel non conoscere mai la password, che potrebbe essere debole o riutilizzata? Non è un ulteriore livello di protezione contro amministratori malevoli, log trapelati o violazioni come quella recente che è successo a Cloudflare?
O mi manca qualcosa che rende completamente inutile l'hashing lato client?
Inoltre, posso immaginare uno scenario ideale, in cui un browser per impostazione predefinita non consente a un sito Web (né al codice JavaScript) di accedere al valore di una casella di immissione della password, eliminando lo sviluppatore-manomissione-con-client- attacchi di codice secondario. La sicurezza di default non sarebbe migliore della sicurezza per scelta (gestori di password)?