È sicuro inviare la password crittografata dell'utente nel browser? Perché?

0

Ho pianificato di inviare la password crittografata dall'applicazione all'utente. Attualmente sto usando AES per crittografare le password degli utenti.

Desidero inviare la password crittografata dell'utente nel browser per aiutarli con l'accesso automatico dopo un'azione di password dimenticata.

È sicuro farlo?

    
posta Jeeva Jsb 20.06.2016 - 04:49
fonte

1 risposta

7

Risposta breve: è estremamente pericoloso e deve essere evitato.

Ci sono alcune cose che dovrebbero essere cambiate. Innanzitutto, le password utente devono essere sempre sottoposte a hash. Come ho detto nei commenti, bcrypt è un meccanismo di hashing comune e appropriato.

In secondo luogo, l'invio di credenziali a un utente lascia la possibilità di abuso da parte di un utente malintenzionato: non c'è mai una buona ragione per inviare queste informazioni all'utente. Quando un utente esercita la funzionalità di password dimenticata di un'applicazione, deve accedere nuovamente con la nuova password. Questo rimuove la tua funzionalità di loggare l'utente con la propria password crittografata automaticamente.

    
risposta data 20.06.2016 - 07:05
fonte

Leggi altre domande sui tag