Я очень новичок в аутентификации/ssl, особенно в сочетании с ios. Мой вопрос заключается в том, что если я отправляю имя пользователя и пароль, чтобы сказать https://server.com/login.php
мне нужно, чтобы хэш мои пароли в iOS-клиенте, или я могу отправить текст пароля, а затем удалить их, прежде чем они будут сохранены в БД?SSL - Хэш Пароль или нет
ответ
Хеши их заранее! Уверен, что вы используете https, но лучше всего никогда не отправлять конфиденциальную информацию в текст, если вы можете помочь.
Отправка хэша или пароля с открытым текстом является по существу той же проблемой.
Если злоумышленник может захватывать данные из соединения между клиентом и сервером, он может позже аутентифицировать себя, выдавая себя за клиента, отправив на сервер либо хэш, либо пароль cleartext.
Ключевым моментом является использование HTTPS, который шифрует связь между клиентом и сервером, чтобы злоумышленник не мог перехватить данные (хэш или пароль), которые клиент отправляет в службу.
Таким образом, хэширование пароля является хорошей практикой для клиента, так что никто не узнает подлинный пароль пользователя (даже если клиент хранит хэш в памяти для удобства использования, вы никогда не должны хранить пароли открытого текста в любом месте).
Это * нет * в высшей степени одинаковый. Хэш должен сочетаться с nonce или солью, чтобы сделать его уникальным для этой транзакции. Это снижает эффективность повторных атак. – Leigh
@Leigh, но если вы сольете его на устройстве, вам придется отправить соль в любом случае, что тоже может быть перехвачено. – mkral
@Leigh. Хорошо, вы правы, но вы можете комбинировать clearPass с nonce тоже, запутывая пароль так же, как вы запутываете хешированный пароль. Я согласен, что хеш должен использоваться, но чтобы избежать работы с реальными паролями (и пусть пользователь будет единственным, кто его знает). imho, конечно – Fabio
- 1. Что это за хэш-пароль или шифрование?
- 2. Что это за хэш-пароль или шифрование?
- 3. Пароль хэш-функция
- 4. NodeJS & SSL - «неверный пароль»
- 5. Весна безопасности пароль хэш + соль
- 6. Пароль, соль, хэш, DB: За миллионный раз
- 7. Безопасная ли передача данных SSL? Или нет?
- 8. хэш-пароль перед отправкой формы
- 9. Хэш-пароль в приложении Swift
- 10. Хэш-пароль symfony2 в Javascript
- 11. Необходимо сохранить пароль, не использовать хэш
- 12. Отправить md5 хэш или необработанный пароль через HTTPS в приложении
- 13. Если хэш имеет столкновение, может ли пароль иметь хэш другого?
- 14. Webservice, Android-клиент, SSL
- 15. Эквивалент пароль хэш-функции для vb.net
- 16. Хэш пароль перед сохранением с Laravel Backpacker
- 17. Хэш-пароль в mongoimport в коллекцию пользователей
- 18. Извлечь пароль хэш из Java keystore
- 19. пользовательский ServerAuthModule (loginModule), где хэш-пароль? JASPIC
- 20. Keystore пароль для Jetty 7.0 конфигурации SSL
- 21. хэш-пароль в SQL Server (asp.net)
- 22. Как расшифровать хэш-пароль с помощью C#?
- 23. Текущий пароль, чтобы войти в хэш?
- 24. изменить пароль ldap, не зная хэш-функции
- 25. Как хэш-пароль со случайной солью?
- 26. ASP.NET MVC пароль проверка с хэш
- 27. Сохранить пароль как хэш с помощью yii
- 28. Хэш-пароль с солью в SQL Server
- 29. хэш md5 пароль в безопасности JQuery
- 30. Как сравнить хэш-пароль с обычным?
Хеширование не поможет вам, если ваш сервер принимает хэши паролей вместо пароля. Вы запрещаете раскрывать пароль, но хеш пароля можно использовать для аутентификации с вашим сервисом. –