Esquemas de autenticación con Hash de contraseña del lado del servidor solamente

Navega tus respuestas
0

Todos sabemos de qué se trata la autenticación básica HTTP: 

Authorization: Basic base64(login + ":" + password)

HTTP Digest es una mejora importante con respecto a Basic, ya que no transmite la contraseña en texto claro, pero, por otro lado, dicha contraseña de texto sin formato se almacena en el servidor.

Mi pregunta es, ¿existen esquemas de autenticación que funcionen con el servidor que solo tiene un hash de la contraseña?

    
pregunta Anton Gogolev 17.01.2017 - 10:44
fuente

1 respuesta

1

Lo que recomiendo:

Hash la contraseña en el lado del cliente. El cliente entonces conoce el mecanismo de hashing para la primera etapa del proceso. Enviar este valor hash al servidor. Ahora haga que el servidor salte y haga hash con esta contraseña ya hash . De esta manera, un intruso solo tendrá acceso al hash en un punto dado, y el servidor nunca verá el texto plano.

    
respondido por el thel3l 17.01.2017 - 10:52
fuente

Lea otras preguntas en las etiquetas

¿Cómo descifrar un archivo que fue atacado por un ransomware? [cerrado] ¿Qué me impide acceder al sistema de archivos de mi Android bloqueado en mi teléfono no cifrado?