Digamos que Alice inició sesión en enlace con su correo electrónico y contraseña:
Correo electrónico: [email protected]
Contraseña: correctHorseShoeBattery
Nonce dado por el servidor: 123139897120148130481041
Salt dado por el servidor: testafaaafadfm123
EJEMPLO de PBKDF2 Hash de contraseña concat con nonce junto con sal producido en el navegador del lado del cliente: 570DE37EB907202E9C96F
Mis preguntas son
-
Es el cálculo hash de la contraseña de Alice concat con nonce & sal siempre se realiza en el lado del cliente?
-
¿No podría otra persona como Eve usar WireShark para detectar el valor hash y reutilizarlo para obtener acceso? ¿O tener el nonce ayuda para evitar eso?
-
Ya que es
HTTPS
, ¿Eve todavía puede olerlo? Como todo se ve confuso, a diferencia deHTTP
, donde Eve puede CTRL + F campo de contraseña. -
El acceso solo se otorgaría si el valor de hash generado por el usuario == el hash almacenado en la base de datos del servidor. Si es así, ¿cómo puede el servidor verificar el hash PBKDF2 de (contraseña concat nonce junto con salt) cuando la base de datos del servidor en el momento del registro de Alice solo almacena el hash de la contraseña y del salt en el momento del registro? Simplemente no coincidirán ya que el hash del servidor no tiene el valor nonce.
Creo que me estoy perdiendo algo y que alguien me ilumine, por favor. ¿Cuál es el estándar de la industria y lo que acabo de describir coincide con el proceso de inicio de sesión típico?