@Israfil22

Безопасен ли данный метод аутентификации?

Создаю систему, где есть юзеры без регистрации (хранения данных). После подключения к серверу клиент отправляет пару полей - логин и пароль. Далее эти данные смешиваются (добавление поля в json) с секретной фразой и хэш отправляется пользователю обратно. Пользователь шарит данный идентификатор в качестве своего опознавательного ключа для других юзеров, которые могут с ним взаимодействовать (т.е. отправляет этот ключ в публичный доступ).
Какие подводные могут быть? Хэши вроде необратимые, а брутфорс и радужные таблицы бесполезны при использовании соли (т.е. моего заданного секрета в поле).
  • Вопрос задан
  • 160 просмотров
Пригласить эксперта
Ответы на вопрос 1
hint000
@hint000
у админа три руки
Проблема в соли.
Если соль разная для каждого пользователя, то её нужно хранить на сервере, а это противоречит исходным условиям.
Если соль одинаковая для всех, то нет смысла в соли - ломается примерно так же, как и без соли.
Не могу припомнить никакую криптографию, в которой бы соль делали секретом (хотя само по себе это не является проблемой).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы