Entiendo por qué la contraseña debe incluirse en sal y hash antes de guardarla en la base de datos, pero mi pregunta es si la hash en el navegador o si solo se envía una contraseña de texto simple a través de HTTPS es seguro.
Si está bien, ¿hay algún documento que pueda usar para demostrarle a mi cliente que el sistema es seguro? Si no es así, ¿cuáles son las mejores prácticas?
Es una práctica estándar enviar contraseñas de "texto simple" a través de HTTPS. En última instancia, las contraseñas no son de texto simple, ya que la comunicación cliente-servidor está cifrada según TLS.
El cifrado de la contraseña antes de enviarla en HTTPS no logra mucho: si el atacante se hiciera con la contraseña cifrada, podría usarla como si fuera la contraseña real, el servidor no sabría la diferencia. La única ventaja que proporcionaría es proteger a los usuarios que usan la misma contraseña para múltiples servicios.
Cuando un usuario escribe una contraseña en un campo HTML <input type=password ...> , normalmente se enviará al servidor como está, es decir, sin ningún tipo de hashing o salado. Por esta razón, esto nunca debe hacerse sin HTTPS.
Pero si su HTTPS es sólido, esto debería estar bien. Es lo que hacen la mayoría de las aplicaciones web.
Lea otras preguntas en las etiquetas authentication tls