Invia hash password o invia password ad hash nel server? [duplicare]

Naviga le tue risposte
-1

Sto facendo una piccola ricerca nella mia domanda ma non ho trovato alcuna risposta concreta. Ho un'architettura client-server. Sto usando Bcrypt come funzione hash (la password è il suo negozio come doppio hash) e HTTPS per proteggere il canale.

Supponiamo che il mio cliente stia eseguendo il login. Sto usando i nomi per l'accesso con password singola.

Devo fare l'Hash (password) sul lato client e inviarlo al server per convalidare? O semplicemente invia la password di testo pulito attraverso l'HTTPS e fai da server lato Hash (password) e convalida?

    
posta rew1nd 27.09.2017 - 12:25
fonte

1 risposta

2

Dovresti inviare la password in testo semplice (su HTTP S ) e eseguire l'hashing sul lato server.

Se esegui l'hashing prima di inviarlo al server, l'hash della password diventa effettivamente la password, perché un utente malintenzionato dovrebbe solo conoscere l'hash della password per autenticarsi con successo con il server.

Vedi anche: link

    
risposta data 27.09.2017 - 13:15
fonte

Leggi altre domande sui tag

Devo oscurare i paesi per bloccare gli attacchi di forza bruta? Come faccio a sapere per quanto tempo una password è per una crittografia 7zip aes 256? [chiuso]