Cách tốt nhất để băm mật khẩu người dùng tại trình duyệt máy khách là gì, trước khi gửi nó đến máy chủ web, để chỉ băm ra ngoài, không phải mật khẩu thuần văn bản?Mật khẩu băm tại trình duyệt của khách hàng
EDIT: giả sử HTTP được sử dụng (không HTTPS)
Tôi hy vọng bạn dự định gửi mã băm qua kênh bảo mật hoặc đây là một phần của cơ chế thách thức/phản hồi. Nếu không, điều này không an toàn hơn việc gửi mật khẩu bằng văn bản thuần túy ... –
@Roger Lipscombe, phương pháp này thực sự có thể là một cải tiến nhỏ cho người dùng. Ngay cả khi không có một kênh an toàn có sẵn (chỉ SSL sẽ hoạt động, không có thay thế JS nào sẽ là chống đạn) thì ít nhất nó sẽ làm cho hàm băm duy nhất cho trang web. Để làm cho băm duy nhất, tất nhiên, * nó phải được muối *. – Inshallah
Cấp rằng nó sẽ làm cho hàm băm duy nhất cho trang web - hữu ích nếu người dùng sử dụng cùng một mật khẩu trên nhiều trang web; không ngăn phát lại trên cùng một trang web. Và, chắc chắn nếu băm được muối, sau đó hoặc là muối phải đi từ khách hàng đến máy chủ - không an toàn hơn trước; hoặc cách khác, trong trường hợp đó, nó là thách thức/phản hồi. –