我一直在寻找客户端和服务器哈希,以提高安全性。我看到的问题是,一旦到达服务器,密码就是纯文本格式,任何无意或有意的日志都会成为问题。
说出Pa$$w0rd,如果用户倾向于重用密码,这将使用户感到头疼。我假设用户倾向于重用密码。因此,将哈希/加盐的字符串(基本上是纯文本)到达服务器,但又不会泄露用户的实际密码输入,在存储之前再次进行哈希处理和加盐处理似乎更为理想。
权衡可能会使验证过程变慢。我可以跳过服务器上的一些其他盐循环吗?
注意:与服务器的通信仍通过HTTPS完成
问题已回答,请参阅此评论交流:
此处的主要目标是避免出现类似GitHub和Twitter的情况 发生在上个月。如果是公司MITM代理,则为IT 管理员可以轻松读取请求,但可以更改 要进行攻击的HTTP响应的内容,他们必须离开 痕迹。我只是想表明在客户端和 服务器将比仅在服务器中进行安全性更高。
@Imcarreiro-然后执行此操作,即使在 客户端进行哈希处理,可能很难成功 蛮力传输的密码哈希。只要确保在那里 在客户端保留足够的哈希时间,以防客户端部分 脱掉。