hashing della password dell'account utente [duplicato]

Naviga le tue risposte
-1

Stiamo sviluppando un'app mobile che include un sistema di account utente. Attualmente, abbiamo un flusso di password di sistema come questo:

User enters password -> SHA-256 HMAC hash with key -> server -> SHA-256 hash -> database

Ho 3 domande:

  1. È abbastanza sicuro per il rilascio?
  2. Sarebbe sicuro memorizzare l'hash della password sul lato client per salvare l'accesso?
  3. Se # 2 è un no, sarebbe meglio crittografare l'hash utilizzando AES-256 e quindi memorizzarlo?
posta Blakenator 10.07.2015 - 20:04
fonte

1 risposta

0

Stai eseguendo l'hashing sul client, quindi esegui nuovamente la crittografia sul server? Se si è in SSL, l'invio dell'hash dal client non è in realtà più sicuro dell'invio della password in chiaro al server. In effetti, questo metodo rende l'hash BE il testo in chiaro, se riesci a catturarlo puoi inviarlo al server senza conoscere la vera password.

Invia la password su ssl in chiaro, Salt. hash con PBKDF2, scrypt o bcrypt. . Molte iterazioni. Fatto.

    
risposta data 10.07.2015 - 20:40
fonte

Leggi altre domande sui tag

URL di reindirizzamento aperto Come proteggersi dai virus web distribuiti