通过SSL / TLS进行PLAIN身份验证

时间:2012-03-02 17:34:20

标签: authentication

如果我通过SSL或TLS连接到邮件服务器但使用PLAIN身份验证,那是否安全?

2 个答案:

答案 0 :(得分:13)

由于SSL / TLS连接已加密,因此将密码作为PLAIN文本发送不会造成任何损害。您也可以加密密码,但之后只需对其进行双重加密即可。在大多数情况下,我认为这是多余的。

如果您选择使用证书而不是密码进行身份验证,我可以考虑使用除了PLAIN over SSL / TLS以外的其他内容的一种情况。否则,我会把它留在PLAIN。

答案 1 :(得分:2)

如果您确定在没有SSL的情况下永远不会使用您的应用程序,Ryan绝对是正确的。 SSL位于表示层,无论何时建立套接字连接,SSL握手都是首先发生的事情,包括主机验证,会话密钥交换和创建安全传输层。一旦建立了这个安全通道,就会发生应用层的通信,并且使用会话密钥对交换的数据进行加密,因此通信无论如何都是安全的。

但是,如果您的应用程序可以选择使用/不使用SSL,那么您应该单独加密密码。在使用SSL时,这将是多余的,但在其他情况下则是必要的。