Itqualityassurance
- Czy hasło jest skręcone po stronie klienta?
- Jeśli masz tajemnicę klienta?
- Czy powinienem skazać hasło przed wysłaniem go na stronę serwera?
- Czy SHA256 jest dobry do mieszania haseł?
Czy hasło jest skręcone po stronie klienta?
Hashing na serwerze hasła są odpowiednio chronione nawet w przypadku wycieku bazy danych. Hashing na kliencie hasło nie opuszcza przeglądarki użytkownika, a nawet aplikacja internetowa nie uczy się hasła.
Jeśli masz tajemnicę klienta?
Zalecane jest haszowanie sekretu klienta z powodów bezpieczeństwa. Hiszpot w jedną stronę tajności klienta zapewnia dodatkowe bezpieczeństwo wobec atakujących, ukrywając tajne wartości klienta PlainText przed widokiem zarówno w interfejsie, jak i w bazie danych.
Czy powinienem skazać hasło przed wysłaniem go na stronę serwera?
Powinien być nieodwracalnie osądzony przed opuszczeniem klienta, ponieważ nie ma potrzeby, aby serwer znalazł faktyczne hasło. Hashing Następnie przekazywanie problemów bezpieczeństwa dla leniwych użytkowników, którzy używają tego samego hasła w wielu lokalizacjach (wiem, że tak).
Czy SHA256 jest dobry do mieszania haseł?
Wybór wolnego algorytmu jest w rzeczywistości preferowany do haszu haseł. Spośród dostarczonych schematów mieszania, tylko PBKDF2 i BCRYPT są zaprojektowane tak, aby były powolne, co czyni je najlepszym wyborem do hasła hasła, MD5 i SHA-256 zostały zaprojektowane tak, aby były szybkie i jako takie czyni je mniej niż idealnym wyborem.
