Iniciar sesión de forma segura sin enviar una prueba simple al servidor

Navega tus respuestas
0

Sé que esta pregunta se ha hecho tantas veces, pero aquí estoy de nuevo con ella. Estoy trabajando en una aplicación en la que necesito iniciar sesión en los usuarios, pero la pregunta es que no es una buena idea enviar las credenciales de los usuarios en texto sin formato, ya que pueden ser crackeados por cualquier herramienta de red (no sé cómo hacerlo). Usted puede decir esto también, entonces será de mucha ayuda completa). Entonces, ¿alguien puede decirme una idea de bateador

Tengo alguna solución de ellos. Actualmente estoy generando una clave de cliente y servidor y luego concatené la clave de usuario + contraseña de usuario de hash + clave de servidor y publico en el servidor estas tres cosas.

El mismo proceso al servidor y compara este hash 2.

¿Es esto suficiente?

Bueno, también había consultado jcryption .

¿Alguien me ha sugerido alguna buena idea?

Gracias ....

    
pregunta Sagar Upadhyay 19.09.2014 - 06:58
fuente

1 respuesta

2

Con su sistema propuesto, cualquier persona que intercepte la transacción de inicio de sesión puede almacenar una copia del hash de la contraseña y usarla en lugar de la contraseña para hacerse pasar por el usuario.

Si realmente no puede usar SSL para proteger la comunicación, busque sistemas de autenticación basados en desafíos, donde la contraseña nunca se transmite a través de la red, sino que se prueba que se conoce la contraseña , y esto se hace en un método que evita los ataques de reproducción.

    
respondido por el Mark 19.09.2014 - 10:13
fuente

Lea otras preguntas en las etiquetas

¿Por qué el archivo ssh 'known_hosts' necesita el nombre del servidor? Encontrar el origen de la dirección IP del atacante de malware detrás de VPN y proxies