El hashing del lado del cliente proporcionaría seguridad desde un servidor integrado [duplicado]

1

He estado leyendo sobre hash y cifrado para poder tomar decisiones más informadas.

Ya conozco los beneficios de ssl y el hashing de contraseñas en el servidor como las mejores prácticas. Sin embargo, me preguntaba, como titular de la plataforma, si sería mejor para mis usuarios que nunca hayan enviado a mi servidor sus contraseñas en su forma original. Es decir, escriba la contraseña, el hash en el cliente, envíelo a través de ssl, el hash con salt a la base de datos ... reinicie en el cliente y el servidor y compare al iniciar sesión.

¿Esto permitiría que un servicio afirme que nunca ha tenido una contraseña de usuario de alguna manera?

ACTUALIZACIÓN Esto se marcó como duplicado, pero mi pregunta está relacionada con proteger la contraseña del servicio en sí, no a ningún hombre en el ataque central. Con SSL o texto simple al servidor, el servidor obtiene la contraseña. ¿Hay alguna forma de enviar una contraseña o un registro sin que el servidor sepa la contraseña? Espero que tenga sentido :)

    
pregunta benbyford 18.12.2016 - 01:40
fuente

1 respuesta

0

Su esquema propuesto "funciona", pero no logra nada. Si un cracker obtiene su base de datos, aún podrán adivinar y verificar las posibles contraseñas de los usuarios. La sal que se usa cuando el hash en el lado del cliente tiene que ser el mismo cada vez (de lo contrario, el mismo usuario no podría iniciar sesión nuevamente con la misma contraseña).

    
respondido por el DepressedDaniel 18.12.2016 - 05:54
fuente

Lea otras preguntas en las etiquetas