我对身份验证/ ssl非常陌生,特别是与ios结合使用。我的问题是,如果我发送用户名和密码让我们说https://server.com/login.php我是否需要在iOS客户端中哈希我的密码,或者我可以发布密码文本然后在存储到数据库之前对它们进行哈希处理?
答案 0 :(得分:2)
请务必事先将它们哈希! 当然你使用的是https,但如果你能提供帮助,最好不要以纯文本形式发送敏感信息。
答案 1 :(得分:1)
发送哈希或明文密码基本上是同一个问题。
如果攻击者可以从客户端和服务器之间的连接中捕获数据,他可以稍后通过向服务器发送散列或明文密码来验证自己冒充客户端。
关键是使用HTTPS,加密客户端和服务器之间的通信,以便攻击者无法拦截客户端发送给服务的数据(哈希或密码)。
也就是说,哈希密码是客户端的好习惯,这样任何人都不会知道真正的用户密码(即使客户端将哈希存储在内存中以便于实用,也不应该在任何地方存储明文密码)。