Шифрование пароля при входе

Question

Когда мы заходим на такой сайт, как Gmail, мы даем наш пароль. Теперь Gmail является веб-сайтом Https, поэтому во время транзита пароль не может быть обнаружен парнем в средней атаке. Если есть SSL MITM, то парольвидно в открытом тексте.

Существует ли механизм, который шифрует пароль при входе в систему, т.е. даже после SSL MITM злоумышленник получит только зашифрованный пароль.

Это будет функциональность на стороне клиента с использованием javascriptsНе так ли?

Но клиент снова может запретить или изменить сценарии.

Или есть какой-то другой механизм?

Answer 1

Вы можете использовать Javascript, но тогда вы (1) должны безопасно передать Javascript пользователю и (2) обменяться ключами для шифрования.

Хотя защита пароля имеет определенную ценность, если сеанс SSL скомпрометирован, MITM может перехватить сеанс и все данные или предложить пользователю изменить свой пароль и просто собрать его.

Вы можете использовать OpenId, но тогда вы только перенесете проблему аутентификации на сервер OpenId. Вам все еще нужен способ получить секрет пользователя на сервер.

Так что, как правило, рекомендуется использовать открытые текстовые пароли через SSL для создания нового аутентифицированного сеансового cookie. Все остальное сводится к вашей первоначальной общей секретной проблеме или к веб-браузеру, не имеющему ничего, кроме SSL, для работы.

Answer 2

Вы можете хэшировать свое имя пользователя и пароль в браузере / сервере, а затем сравнивать хэши на бизнес-уровне.Это предотвратит атаки MITM и позволит BO проверять учетные данные.