在发送密码之前，我们为什么不看一下网站的哈希密码呢？

Question

(关于问题标题：“我们”是指我自己)

每次我登录到任何网站，我都会想，网站询问我的密码并将它发送回服务器只是基本的安全工程。为什么所有的网站都发送我的明文密码(最多通过SSL)，而不是首先使用一些javascript代码对其进行散列？

Answer 1

JavaScript是在浏览器中运行的客户端代码，因此非常容易被打败，所以使用它加密密码真的没有什么意义。

SSL是一种加密协议，它对客户端和服务器之间的数据进行加密，因此被认为是足够的，而无需添加容易损坏的可见客户端代码。但是，可以使用JavaScript来验证密码是否符合某些强度标准，例如服务器端应用程序/数据库所要求的字母数字字符、大小写和符号的数量。

Answer 2

我将在这里尝试一个答案:我们没有看到它的b/c，它并没有成为那些委托网站的人的大问题，关于替代方案的知识也不是很公开。

我已经开始使用安全远程密码( SRP )协议了，正如您从https://security.stackexchange.com/search?q=srp中可以看到的那样，人们对安全领域有很大的兴趣，但是https://webmasters.stackexchange.com/search?q=srp上没有。

现在，我并不是说SRP是所有安全的全部，但是它解决了您在登录表单输入后在任何地方存储密码的问题。

直到海森堡的不确定性原理从切入点到接收点被掌握，才有完美的解决方案，但更好的方法出现了，并花时间成为“标准”。

Answer 3

SSL上的密码至少对某个点是安全的。使用客户端Javascript对密码进行散列是很好的，但并不能大大提高您的安全性。它很容易被打败。

为了获得更高的安全性，必须隐藏主哈希算法以避免窃听。因为为了更好和更高的安全性，密码必须被盐析，这些盐短语必须被隐藏起来，对任何人都是不可见的。

希望它能回答你的疑问。