在安全通道的情况下，通过用户名和密码使用SCRAM有什么好处吗？

Question

考虑到HTTP上的通信

• 使用SSL加密
• 使用公钥钉扎防止MiTM攻击

通过在基本访问身份验证上使用盐渍挑战响应认证机制 (SCRAM)并随后作为每个请求的令牌，安全性是否得到提升？

Answer 1

一个常见的安全漏洞是错误地记录明文密码：

• 推特
• Facebook
• 谷歌
• 罗宾汉
• 埃尔塞维尔

即使您有传输安全性，在服务器上没有明文密码也有好处。传输安全保护免受攻击者攻击。如果你想保护自己免受自己的错误，你需要客户端哈希。

Answer 2

RFC指出了以下优点：

存储在身份验证数据库中的身份验证信息本身不足以模拟客户端。如果数据库被盗，则对信息进行盐析以防止预存储的字典攻击。服务器无法将客户端模拟到其他服务器(对于服务器授权的代理除外)。该机制允许使用服务器授权的代理，而不要求该代理具有后端服务器的超级用户权限。O支持相互身份验证，但只有客户端被命名(即服务器没有名称)。

您的问题只考虑连接安全性，而SCRAM也考虑客户端凭据的安全性。它最明显的优点是，它阻止服务器操作员获得用户凭据，因为它们是以咸和散列格式传输的，而在简单的TLS连接上，则是在明文上传输的。