Estoy haciendo recomendaciones para mejorar nuestra autenticación de usuario (inicio de sesión). Nuestro enfoque hasta ahora es garantizar que nosotros (y las bibliotecas que usamos) sigamos todas las pautas de OWASP.
También he estado tratando de estudiar lo que hacen Google, Microsoft y Yahoo. Por lo que puedo decir, no transmiten directamente las contraseñas al backend (solo coloque un punto de interrupción para los elementos XHR y véalo usted mismo).
Por lo tanto, mi pregunta es clara. ¿Qué están haciendo con las contraseñas antes de enviar el backend (posiblemente el mismo o diferente)?