¿Es una mala práctica enviar datos descifrados?

Un algoritmo que "solo la máquina remota conoce" no existe . Los algoritmos no son secretos. Existen como código fuente, código binario y conceptos mentales en varios lugares, incluidos los cerebros de los desarrolladores. Los criptógrafos han decidido hace mucho (medio siglo) dividir los "criptosistemas" en claves , que son secretas, y algoritmos , que no lo son. Lo hicieron porque es casi imposible mantener en secreto un algoritmo , e incluso cuando no es ampliamente conocido, no se puede decir "cuánto" es secreto.

Hacer cualquier cosa relacionada con la seguridad con HTTP simple suele ser una mala idea. HTTP simple no ofrece ninguna protección contra las escuchas ilegales, pero tampoco protege contra el secuestro activo. Y necesitas ambas protecciones. SSL proporciona ambos. Utilice SSL. Una vez que usa SSL, muchas cosas son más simples y, en particular, puede enviar las contraseñas "tal cual" en el túnel SSL.

"El hash descifrable" es una expresión sin sentido: por definición, una función hash criptográfica es de una sola vía , que significa exactamente lo contrario de "descifrar". Quieres decir "contraseña encriptada". Y el cifrado de contraseñas significa que imaginas descifrarlas en alguna parte, lo cual es una mala idea, a menos que sea solo para transporte, no para almacenamiento; y, para el transporte, usas SSL.

Sí. Porque si puede romperse, es muy probable que se rompa. Obviamente, depende de la implementación y para qué se va a utilizar. Por ejemplo, si está utilizando algo como esto para transmitir datos financieros a través de Internet, diría que es una mala idea. Si hay algo que he aprendido en seguridad de TI, es que los analistas de criptas son muy inteligentes. Por otro lado, si solo lo está utilizando como una forma de ocultar el chat dentro de una pequeña red de confianza, probablemente no haya mucho problema con el uso de algo relativamente débil.

¿Por qué no solo usar SSL?