Tengo un servidor Java con Spring Boot y un JS Frontend en AngularJS.
Mi profesor me dijo que usara HTTPS para las contraseñas, porque no puedo hacerles una copia de seguridad con tanta seguridad, que nadie puede piratearlas.
Con HTTPS, si lo hago bien, no tengo que hacer un hash adicional. Mi fuente: Simplemente envío el nombre de usuario y la contraseña a través de https. ¿Está bien?
Así que ahora a mi pregunta: almaceno el pw en una base de datos, por supuesto. ¿Dónde debería hacerles hash? ¿Frontend o Backend?
- Si lo coloco en el frontend, no tengo que hacer nada más en el backend; pero si el certificado HTTPS caduca, soy inseguro .
- Si lo hago en el backend, no tengo que hacer nada más en el frontend; pero si el certificado HTTPS caduca, soy inseguro .
Yo usaría Scrypt, que está hecho para el hash de contraseña.