Actualmente estoy usando una técnica en la que envío el nombre de usuario / contraseña en texto simple (usando https) al servidor, que luego realiza bcrypt y se compara con la base de datos. Práctica estándar.
Se considera seguro.
¿El envío de hash bcrypt al servidor para verificarlo sería igualmente seguro?
El punto de cifrado es que es computacionalmente costoso, por lo que los hashes robados no pueden ser forzados a la fuerza bruta (o tomarían mucho tiempo). Con el cliente enviando el hash, creo que esto sigue siendo cierto.
Entonces, la pregunta es, ¿esta técnica pondría en peligro la seguridad de mi red de alguna manera?
- Editar
Me gustaría hacer esto porque reduce la potencia computacional que necesita el servidor. Hacer cosas moderadamente caras en el cliente nunca es una mala idea.