¿Enviar la contraseña de hash o la contraseña de hash en el servidor? [duplicar]

Navega tus respuestas
-1

Estoy investigando un poco en mi pregunta, pero no encontré ninguna respuesta concreta. Tengo una arquitectura cliente-servidor. Estoy usando Bcrypt como función hash (la contraseña se almacena como hash doble) y HTTPS para proteger el canal.

Supongamos que mi cliente está iniciando sesión. Estoy usando nombres para el inicio de sesión de contraseña única.

¿Debo hacer el hash (contraseña) en el lado del cliente y enviarlo al servidor para validarlo? ¿O simplemente envíe la contraseña de texto limpio a través del HTTPS y realice la operación en el servidor Hash (contraseña) y valídelo?

    
pregunta rew1nd 27.09.2017 - 12:25
fuente

1 respuesta

2

Debes enviar la contraseña de texto sin formato (a través de HTTP S ) y hacer el hashing en el lado del servidor.

Si hicieras el hash antes de enviarlo al servidor, el hash de la contraseña se convertiría efectivamente en la contraseña, ya que un atacante solo tendría que conocer el hash de la contraseña para autenticarse correctamente con el servidor.

Vea también: enlace

    
respondido por el Jacco 27.09.2017 - 13:15
fuente

Lea otras preguntas en las etiquetas

fuzzing xss mutillidae con OWASP ZAP infraestructura de clave pública RSA