我公司聘请了网络安全专家。他概述了我们的登录页面,并说密码最好是哈希并发送到服务器。我告诉他我们将购买SSL,但他坚持认为即使是SSL,最好不要将干净的文本作为密码发送给服务器。他还说他可以在10分钟内破解SSL,但是使用哈希密码,这是黑客破解我们网站的又一步。
所以说,我在我的程序中使用ASP.NET Identity 2,并且我将在用户的浏览器中使用sha1来散列密码。但我不知道如何将此哈希密码传递给java <some intellij stuff> <VM options> <Main class> <Program arguments>方法。
任何人都可以帮助我吗?
答案 0 :(得分:2)
在将密码发送到服务器之前,在登录页面上对密码进行散列是没有意义的。
攻击者能够&#34;破解SSL&#34;并拦截您的流量,现在可以拦截散列密码,只需使用散列密码重放登录尝试,而不是使用明文变体。 Hashing在这里没有任何额外的安全性。