Itqualityassurance
- Ist Passwort auf Client -Seite gehasht?
- Sollten Sie Hash -Kundengeheimnis?
- Sollte ich das Kennwort hasht, bevor ich es an die Serverseite sende?
- Ist SHA256 gut für Passworthashing?
Ist Passwort auf Client -Seite gehasht?
Durch Hashing auf dem Server sind Passwörter auch bei einem Datenbankleck angemessen geschützt. Durch Hashing im Client hinterlässt das Passwort den Browser des Benutzers nicht und selbst die Webanwendung lernt das Passwort nicht.
Sollten Sie Hash -Kundengeheimnis?
Hashing the Client Secret wird aus Sicherheitsgründen empfohlen. Einweg-Hashing des Client-Geheimnisses bietet zusätzliche Sicherheit gegen Angreifer, indem die Klartext-Client-Geheimwerte sowohl in der Schnittstelle als auch in der Datenbank vor Sicht versteckt sind.
Sollte ich das Kennwort hasht, bevor ich es an die Serverseite sende?
Es sollte irreversibel gehasht werden, bevor Sie den Client verlassen, da der Server nicht das tatsächliche Passwort kennt. Hashing dann löst die Lösung von Sicherheitsproblemen für faule Benutzer, die das gleiche Passwort an mehreren Standorten verwenden (ich weiß, dass ich es tue).
Ist SHA256 gut für Passworthashing?
Die Auswahl eines langsamen Algorithmus wird tatsächlich für das Passwort -Hashing bevorzugt. Von den bereitgestellten Hashing-Schemata sind nur PBKDF2 und Bcrypt so konzipiert, dass sie langsam sind, was sie zur besten Wahl für das Kennworthashing macht, MD5 und SHA-256 wurden so konzipiert, dass sie schnell sind, und damit dies zu einer weniger als idealen Wahl ist.
