He estado leyendo sobre hash y cifrado para poder tomar decisiones más informadas.
Ya conozco los beneficios de ssl y el hashing de contraseñas en el servidor como las mejores prácticas. Sin embargo, me preguntaba, como titular de la plataforma, si sería mejor para mis usuarios que nunca hayan enviado a mi servidor sus contraseñas en su forma original. Es decir, escriba la contraseña, el hash en el cliente, envíelo a través de ssl, el hash con salt a la base de datos ... reinicie en el cliente y el servidor y compare al iniciar sesión.
¿Esto permitiría que un servicio afirme que nunca ha tenido una contraseña de usuario de alguna manera?
ACTUALIZACIÓN Esto se marcó como duplicado, pero mi pregunta está relacionada con proteger la contraseña del servicio en sí, no a ningún hombre en el ataque central. Con SSL o texto simple al servidor, el servidor obtiene la contraseña. ¿Hay alguna forma de enviar una contraseña o un registro sin que el servidor sepa la contraseña? Espero que tenga sentido :)