Я очень новичок в аутентификации/ssl, особенно в сочетании с ios. Мой вопрос заключается в том, что если я отправляю имя пользователя и пароль, чтобы сказать https://server.com/login.php мне нужно, чтобы хэш мои пароли в iOS-клиенте, или я могу отправить текст пароля, а затем удалить их, прежде чем они будут сохранены в БД?SSL - Хэш Пароль или нет
Хеши их заранее! Уверен, что вы используете https, но лучше всего никогда не отправлять конфиденциальную информацию в текст, если вы можете помочь.
Отправка хэша или пароля с открытым текстом является по существу той же проблемой.
Если злоумышленник может захватывать данные из соединения между клиентом и сервером, он может позже аутентифицировать себя, выдавая себя за клиента, отправив на сервер либо хэш, либо пароль cleartext.
Ключевым моментом является использование HTTPS, который шифрует связь между клиентом и сервером, чтобы злоумышленник не мог перехватить данные (хэш или пароль), которые клиент отправляет в службу.
Таким образом, хэширование пароля является хорошей практикой для клиента, так что никто не узнает подлинный пароль пользователя (даже если клиент хранит хэш в памяти для удобства использования, вы никогда не должны хранить пароли открытого текста в любом месте).
Это * нет * в высшей степени одинаковый. Хэш должен сочетаться с nonce или солью, чтобы сделать его уникальным для этой транзакции. Это снижает эффективность повторных атак. – Leigh
@Leigh, но если вы сольете его на устройстве, вам придется отправить соль в любом случае, что тоже может быть перехвачено. – mkral
@Leigh. Хорошо, вы правы, но вы можете комбинировать clearPass с nonce тоже, запутывая пароль так же, как вы запутываете хешированный пароль. Я согласен, что хеш должен использоваться, но чтобы избежать работы с реальными паролями (и пусть пользователь будет единственным, кто его знает). imho, конечно – Fabio
Хеширование не поможет вам, если ваш сервер принимает хэши паролей вместо пароля. Вы запрещаете раскрывать пароль, но хеш пароля можно использовать для аутентификации с вашим сервисом. –