Vivimos en un mundo donde la reutilización de contraseñas es común y la mayoría de los usuarios de Internet no están usando administradores de contraseñas, mientras que los hackeos y las violaciones son cada vez más comunes. La importancia de esas brechas no solo radica en el acceso al sitio web comprometido, sino también en el hecho de que las contraseñas filtradas se reutilizan comúnmente para las redes sociales, correos electrónicos o cuentas bancarias, y para acceder a todo tipo de información vulnerable que puede causar estragos en la persona. vida. La pregunta es acerca de los beneficios del lado del cliente para el usuario regular, no del altamente educado.
¿Hay beneficios de seguridad del hashing del lado del cliente cuando se combina con TSL, el hashing fuerte del lado del servidor y todos los demás tipos de medidas de seguridad?
He leído en varias publicaciones, que
la contraseña con hash del lado del cliente se convierte en la contraseña.
y eso
ssl resuelve todos los problemas durante el transporte
Pero trato de imaginar un escenario en el que la contraseña nunca puede ser leída incluso por alguien que controla el servidor.
¿Pero no hay un beneficio en no saber la contraseña, que podría ser débil o reutilizada? ¿No es una capa adicional de protección contra administradores maliciosos, registros filtrados o infracciones como una reciente que le sucedió a Cloudflare?
¿O me falta algo que hace que el hashing del lado del cliente sea completamente inútil?
Además, puedo imaginar un escenario ideal, donde un navegador por defecto no permitiría que un sitio web (ni su código de JavaScript) accedan al valor de un cuadro de entrada de contraseña, lo que eliminaría a los desarrolladores-manipulaciones con el cliente ataques de código lateral. ¿La seguridad por defecto no sería mejor que la seguridad por elección (administradores de contraseñas)?