L'hashing lato client fornisce sicurezza da un server compresso [duplicato]

1

Ho letto di hashing e crittografia in modo da poter prendere decisioni più informate.

Conosco già i vantaggi di ssl e password hashing serveride come best practice. Tuttavia mi chiedevo, come titolare di una piattaforma, se sarebbe stato meglio per i miei utenti per loro non aver mai inviato al mio server le loro password nella loro forma originale. I.e digita password, hash sul client, invia su ssl, hash con salt al database ... rehash su client e server e confronta al login.

Questo consentirebbe a un servizio di affermare di non aver mai avuto una password utente in alcun modo?

Aggiorna Questo è stato contrassegnato come duplicato, ma la mia domanda è preoccupata di proteggere la password dal servizio stesso, non da alcun uomo nell'attacco centrale. Con SSL o testo normale al server, il server ottiene la password. C'è un modo di inviare una password o un login senza che il server conosca la password. spero che abbia senso :)

    
posta benbyford 18.12.2016 - 01:40
fonte

1 risposta

0

Il tuo schema proposto "funziona", ma non raggiunge nulla. Se un cracker ottiene il tuo database, sarà comunque in grado di indovinare e controllare le potenziali password per gli utenti. Il sale usato quando si esegue l'hash sul lato client deve essere lo stesso ogni volta (altrimenti lo stesso utente non sarebbe in grado di accedere di nuovo con la stessa password).

    
risposta data 18.12.2016 - 05:54
fonte

Leggi altre domande sui tag