Accesso sicuro senza inviare testo normale al server

0

So che questa domanda è stata posta tante volte, ma eccomi di nuovo presente. Sto lavorando a un'applicazione in cui ho bisogno di accedere agli utenti ma la domanda è che non è una buona idea inviare le credenziali dell'utente in testo normale, dato che possono essere incrinate da qualsiasi strumento di rete (non so come sia così puoi dirlo anche a questo punto sarà molto d'aiuto). Quindi qualcuno può dirmi un'idea di pastella.

Ho una soluzione da loro sto generando la chiave client e server e poi ho il client chiave + hash password utente + chiave server e post al server queste tre cose.

Lo stesso processo al server e confronta questo hash 2.

È abbastanza?

Bene, ho anche cercato di jcryption .

Qualcuno mi suggerisce una buona idea?

Grazie ....

    
posta Sagar Upadhyay 19.09.2014 - 06:58
fonte

1 risposta

2

Con il tuo sistema proposto, chiunque intercetta la transazione di accesso può memorizzare una copia dell'hash della password e utilizzarla al posto della password per impersonare l'utente.

Se davvero non si può usare SSL per proteggere la comunicazione, esaminare i sistemi di autenticazione basati su challenge, dove la password non viene mai trasmessa sulla rete, ma invece la prova che la password è nota viene trasmessa e questo è fatto in un metodo che impedisce gli attacchi di replay.

    
risposta data 19.09.2014 - 10:13
fonte

Leggi altre domande sui tag