Sto facendo raccomandazioni per migliorare la nostra autenticazione utente (login). Il nostro approccio finora è quello di garantire che noi (e le librerie che usiamo) stiamo seguendo tutte le linee guida OWASP.
Ho anche cercato di studiare cosa fanno Google, Microsoft e Yahoo. Per quanto posso dire, non trasmettono direttamente le password al back-end (basta inserire un punto di interruzione per gli elementi XHR e vedere di persona).
La mia domanda è quindi semplice. Cosa stanno facendo alle password prima che vengano inviate le backend (possibilmente uguali o diverse)?