在stackoverflow上,我发现了是否应在客户端对密码进行散列的唯一答案。
Here的最佳答案是,客户端哈希不是一个好主意,因为它使用户密码仅是哈希的助记符,而后者成为真实密码。我也经常看到人们说通过HTTPS发送密码是“很好的”。
另一方面,this的最佳答案是HTTPS并非灵丹妙药,它更喜欢对客户端进行哈希处理。
还有this article表示,哈希扩展用于减慢哈希计算。因此,如果我正确理解,则可以在客户端使用PBKDF2之类的算法来减慢攻击者的计算机而不是服务器的速度。
这些观点中的任何一个观点是否足够好,或者有什么想法可以使两者都达到最佳?