Задать вопрос
PiCoderman
@PiCoderman
php

Где нужно начинать шифровать пароль?

При регистрации/авторизации пользователь вводит пароль. Далее этот пароль отправляется на сервер для проверки/сохранения. Как будет разумнее : зашифровать пароль перед отправкой на сервер или уже там на сервере принимать его "как есть" и затем md5'ить(например)?
  • Вопрос задан
  • 589 просмотров
1 комментарий
Подписаться 1 Оценить 1 комментарий
Решения вопроса 1
@vilgeforce
Раздолбай и программист
Разумнее https.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 3
mountpoint
@mountpoint
Естественно, шифровать на сервере + https. Иначе злоумышленник спокойно посмотрит алгоритм шифрования на JS.
Ответ написан
Комментировать
Комментировать
Ivanq
@Ivanq
Знаю php, js, html, css
Как Вам уже сказал Владимир Мартьянов , лучше https. Если уж совсем никак, объясню, почему нельзя ни так, ни так.

Предположим, шифруем на сервере:
_______                 ______             _________
  |     |                /      \            |       |
  |     |               /  #  #  \           | # # # |
  |_____|     ------->  |  ____  |  -------> | # # # |
  /     \    password:  \ /    \ /           | # # # |
 /_______\ "mypassword"  \______/            |_______|
   Client               Ugly hacker           Server


Если на клиенте:
______                _________            ______
 /      \               |       |           /      \
/  #  #  \              | # # # |          /  #  #  \
|  ____  |   ------->   | # # # | -------> |        |
\ /    \ /   password:  | # # # |  login   \ \____/ /
 \______/    "hismd5"   |_______| success!  \______/
Ugly hacker              Server          Smiling hacker
Ответ написан
Комментировать
Комментировать
eri
@eri
Интересно почему не используются в вебе технологии *CHAP . Это накладывает ограничение на сервер, что на нем будут храниться пароли с обратимым шифрованием, но при этом защищает от прослушки.

Даже Https не панацея - вспомните аваст, который подменяет корневой сертификат защищаемой системы, если это может делать антивирус, то скомпроментировать https на клиенте может любой троян.

Очень хотелось бы увидеть реализацию, в которой на клиенте пароль шифровался одним способом, передавался на сервер, там шифровался с солью сервера и в базе хранился бы хеш этого пароля. При авторизации клиент делает первый хэш, солит его солью полученной от сервера, передает на сервер. сервер солит второй солью пароль в базе, а первой солью полученный хеш авторизации. Сравнивает хеши. При таком подходе открытый пароль будет только в хтмл форме и сть ограничение на выбор хеш функций. но при довольно сложном алгоритме шифрования на сервере подобрать пароль и повторно использовать хеш становится сложнее.

Остается добавить к этому метод позволяющий не хранить пароль в поле ввода по мере набора...
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
PHP-разработчик
Wanted.
До 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Консультация по созданию математических графиков в Cinema 4D
27 нояб. 2024, в 01:38
2000 руб./за проект
Дизайн трекера для учета задач и времени
27 нояб. 2024, в 01:05
250000 руб./за проект
Исправление в битрикс подключенной библиотеки и обновление метода
27 нояб. 2024, в 00:22
1500 руб./в час
Ещё заказы