Nel caso in cui una password CRA univoca sale viaggi il filo?

1

In un metodo di autenticazione sto usando un framework auth che esegue un'implementazione di CRA che inoltra il comando salt (con lunghezza chiave / iterazioni), sfida al client.

Con queste informazioni il cliente può utilizzare l'archivio & password salata (che è stata inserita dall'utente in modalità manuale e non in linea) per creare una firma (utilizza HMAC) che viene quindi restituita al server in cui viene verificata.

Sto generando sali unici usando la libreria bcrypt . La mia domanda è: gli sviluppatori del framework auth dichiarano che questo è un metodo molto sicuro e non richiede TLS poiché il "segreto" reale non viaggia mai su "the wire" (ovvero viene inoltrato al client).

Tuttavia, le mie preoccupazioni sono, se è sicuro inviare il sale al cliente?

    
posta Simon Kemper 08.08.2016 - 21:33
fonte

0 risposte

Leggi altre domande sui tag