Я реализовал многоэтапную аутентификацию, показанную ниже.Выявление солей на этапах аутентификации
скобки ([и]) символизирует хэш-
клиент имеет ключ и секретный, используемый для аутентификации. Сервер имеет таблицу базы данных с строки, содержащие ключ, соль и [секретный + соль]
Client Server
| |
----------------- key -------------------->|
| |
| |
|<--------- server-nonce -------------------
|<------------ salt ------------------------
| |
| |
------------ key ------------------------->|
------------ client-nonce ---------------->|
--[c-nonce + s-nonce + [secret + salt]] -->|
| |
Затем сервер проверяет хэш-получил от своей собственной информации.
Мое беспокойство заключается в том, что это позволяет злоумышленнику завладеть солью с сервера, а затем создать стол радуги, чтобы взломать эту учетную запись. Что вы думаете об этом?
Я знаю, что я заново изобретать колесо. Одна из причин этого - учиться. –