Supponiamo che Alice abbia effettuato l'accesso al link con la sua email e password:
Email: [email protected]
Password: correctHorseShoeBattery
Nonce given by the server: 123139897120148130481041
Salt given by the server: testafaaafadfm123
ESEMPIO di PBKDF2 Hash di password concat con nonce insieme a salt prodotto sul browser lato client: 570DE37EB907202E9C96F
Le mie domande sono
-
Il calcolo dell'hash della password di Alice concat con nonce & sale sempre eseguito dal lato client?
-
Un altro utente come Eve non sarebbe in grado di utilizzare WireShark per annusare il valore dell'hash e riutilizzarlo per ottenere l'accesso? Oppure avere il nonce aiuta a impedirlo?
-
Poiché è
HTTPS, Eve è ancora in grado di annusarlo? Poiché tutto sembra offuscato, a differenza diHTTPin cui Eve può CTRL + F campo password. -
L'accesso sarebbe concesso solo se il valore hash prodotto dall'utente == l'hash memorizzato nel database del server. Se Allora, come può il server verificare l'hash PBKDF2 di (password concat nonce insieme a salt) quando il database del server al momento della registrazione di Alice memorizza solo l'hash della password e sale al momento della registrazione? Semplicemente non corrispondono perché l'hash del server non ha il valore nonce.
Penso che mi manchi qualcosa e qualcuno può illuminarmi, per favore. Qual è lo standard del settore e fa ciò che ho appena descritto corrisponde al tipico processo di accesso?