Вопрос по логистике хеширования у клиента

Question

Я нашел много сообщений о хешировании на клиенте, но ни одного, которые вполне отвечают на мой вопрос.

Я бы хотел хэшировать пароли пользователей на клиенте, чтобы мне не приходилось отправлять текстовые пароли через Интернет, но у меня возник вопрос, как мне это сделать при использовании соли.

Обычная процедура проверки пароля: 1) пользователь вводит логин и пароль 2) восстановить соль на основе имени пользователя 3) хэш-пароль и соль 4) проверить хеш против db

Если все это происходит на сервере, это не страшно, но становится сложнее, если вы находитесь на клиенте. 2) должен быть обратный вызов на сервер при сохранении где-нибудь пароля (без его публикации), так что .. ajax? Это лучший способ или я что-то упустил?

Заранее спасибо!

Answer 1

Отправка хешированного пароля по незашифрованному соединению не лучше, чем отправка незашифрованного простого текста. Плохой парень может перехватить хешированный пароль и воспроизвести его позже как учетные данные.

Вам нужно отправить реальный пароль через SSL.

Answer 2

В качестве более безопасной альтернативы отправке незашифрованных хэшей или паролей по незащищенному каналу (но все же менее безопасным, чем SSL), вы можете посмотреть Digest Authentification .

Как было сказано выше, отправка хэша по небезопасному каналу все же позволит другому пользователю войти в систему как пользователь.