Hash de contraseña de cuenta de usuario [duplicado]

Navega tus respuestas
-1

Estamos desarrollando una aplicación móvil que incluye un sistema de cuenta de usuario. Actualmente, tenemos un flujo de contraseñas del sistema como este:

  

El usuario ingresa la contraseña - > SHA-256 HMAC hash con clave - > servidor - > SHA-256 hash - > base de datos

Tengo 3 preguntas:

  1. ¿Es esto lo suficientemente seguro para el lanzamiento?
  2. ¿Sería seguro almacenar el hash de contraseña del lado del cliente para guardar el inicio de sesión?
  3. Si # 2 es un no, ¿sería mejor cifrar el hash usando AES-256 y luego almacenarlo?
pregunta Blakenator 10.07.2015 - 20:04
fuente

1 respuesta

0

¿Está haciendo hash en el cliente y luego vuelve a cifrarlo en el servidor? Si está bajo SSL, enviar el hash desde el cliente no es más seguro que enviar la contraseña en texto sin formato al servidor. De hecho, este método solo hace que el hash sea el texto plano, si puede capturarlo, puede enviarlo al servidor sin tener que conocer la contraseña real.

Envíe la contraseña sobre ssl en texto plano, Salt. hash con PBKDF2, scrypt o bcrypt. . Muchas iteraciones. Hecho.

    
respondido por el Jason Coyne 10.07.2015 - 20:40
fuente

Lea otras preguntas en las etiquetas

Pruebas de Blackbox para inyección SQL Escaneo y opciones de omisión de SSL