通过http帖子发送加密的加密用户名和密码是否安全?我基本上只是想为我的朋友设置一个加密的用户名和密码,以便他们可以访问我服务器上的内容。
答案 0 :(得分:0)
与没有SSL / TLS安全网的明文通信一样危险。没有多大好处。
如果您关心安全性,请确保使用SSL / TLS等通用标准通过网络加密所有用户名和密码。最近这种方法存在许多漏洞(例如OpenSSL),因此值得研究建立安全通信渠道的方法。 OWASP是Web应用程序安全策略的绝佳资源。
Bcrypt不用于加密通信,但它是一种加密哈希函数,对密码散列特别有用。
在决定是接受还是拒绝登录尝试时,服务器需要知道什么?它必须决定客户端提供的用户名和密码是否正确。有趣的是,您可以通过存储难以反转的密码衍生物而不是密码本身来实现。好处?如果有人访问您的密码数据库,您的用户密码仍然应该是安全的。这并不是说你应该发布你的密码数据库,但最好设计一切,好像这可能发生。