La mayoría de los sitios no utilizan ninguno de los mecanismos de autenticación HTTP, es decir, Autenticación básica o Autenticación de resumen basada en MD5, porque estos mecanismos son muy limitados en lo que ofrecen. Ni siquiera es posible cerrar la sesión usando estos mecanismos de autenticación.
Pero incluso los pocos sitios que utilizan la autenticación HTTP suelen preferir la autenticación básica a través de HTTPS en lugar de la autenticación de resumen, ya que el último requiere que las contraseñas se almacenen en el servidor como texto plano o equivalente, lo que por supuesto es incorrecto desde un punto de vista de seguridad. perspectiva.
Por lo tanto, la única ventaja de la autenticación de resumen con otras formas de autenticación es si se utiliza con conexiones no cifradas. En todos los demás casos, es peor que las otras formas establecidas de autenticación. Pero, cualquier tipo de inicio de sesión en conexiones inseguras se considera malo de todos modos hoy. Por lo tanto, no es necesario mejorar levemente un mecanismo de autenticación ya defectuoso sin abordar los problemas básicos de la misma, es decir, el almacenamiento necesario de texto sin formato (o texto sin formato equivalente) de la contraseña.
Aparte de eso, las debilidades de MD5 como una mala resistencia contra ataques de colisión y ataques de pre imagen no afectan realmente su uso en la autenticación Digest, es decir, aún es adecuada para este caso de uso cuando se usa junto con un servidor aleatorio adecuado nonce definido.