Ho letto di hashing e crittografia in modo da poter prendere decisioni più informate.
Conosco già i vantaggi di ssl e password hashing serveride come best practice. Tuttavia mi chiedevo, come titolare di una piattaforma, se sarebbe stato meglio per i miei utenti per loro non aver mai inviato al mio server le loro password nella loro forma originale. I.e digita password, hash sul client, invia su ssl, hash con salt al database ... rehash su client e server e confronta al login.
Questo consentirebbe a un servizio di affermare di non aver mai avuto una password utente in alcun modo?
Aggiorna Questo è stato contrassegnato come duplicato, ma la mia domanda è preoccupata di proteggere la password dal servizio stesso, non da alcun uomo nell'attacco centrale. Con SSL o testo normale al server, il server ottiene la password. C'è un modo di inviare una password o un login senza che il server conosca la password. spero che abbia senso :)