Хешируйте пароль со случайной солью, используя JavaScript, и подтвердите с C #

Question

Я хочу сделать процесс сохранения пароля сильным для веб-приложения asp.net.Пожалуйста, подтвердите мою идею, если это осуществимо.Если да, то предложите пример кода или ссылки для реализации.В противном случае предложите, как можно безопасно отправить пароль из браузера на сервер и сохранить в хеш-коде.

Примечание: Я уже использую TLS (SSL) для безопасности.

Шаги:

1. При регистрации пользователя хешируйте пароль пользователя со случайной солью из JavaScript в браузере клиента.
2. Отправить форму.
3. Код на стороне сервера будет хранить хэш в базе данных.
4. Когда пользователь пытается войти, хэшируйте пароль пользователя со случайной солью из JavaScript в браузере клиента.
5. Отправьте форму.
6. Проверка сохраненного в базе данных хэша с помощью хэша пароля для входа.(Я думаю, что оба хэша будут разными из-за случайной соли, но функция проверки сможет их сравнить)

Answer 1

Это небезопасно. Хеширование и засоление должны быть скрытым секретом реализации, который предоставляет сервер, а не клиент.Так как у клиента есть секрет реализации, если кто-то получит доступ к вашей базе данных, он может восстановить вашу модель безопасности.

HTTPS защитит пароль при передаче.Я бы также не стал использовать собственную систему аутентификации, так как есть много «ошибок».ASP.NET Framework и Core предоставляют надежные шаблоны и реализации для аутентификации.