最高安全性:在传输之前还是之后编码密码？

Question

房地：

用户启动客户端程序，输入标识。

2-客户端程序通过ssl连接向服务器发送标识。

3-服务器验证标识并允许或不允许访问。

设想1：

• 可靠的单向转换库在传输前在客户端机器上对密码使用。

设想2：

• 密码通过连接发送，并由服务器机器上的同一个库进行转换。

问:哪种方案从安全考虑中最安全，即在传输前在客户端计算机上或在传输后在服务器机器上转换密码？

Answer 1

SSL连接保护密码不受窃听者的攻击。

不需要在客户端上散列密码，而且如果您这样做了，它只会使哈希本身成为密码。

因此，正确的地方进行正确的散列是在服务器上。

顺便说一下：

• 只存储散列密码
• 对每个密码使用随机盐
• 使用慢速散列，即使是非常好的快速散列也不适合存储密码。