- A senha é hashed no lado do cliente?
- Você deve ser o segredo do cliente Hash?
- Se eu houvesse a senha antes de enviá -la para o lado do servidor?
- SHA256 é bom para o hash de senha?
A senha é hashed no lado do cliente?
Por hash no servidor, as senhas são adequadamente protegidas, mesmo no caso de um vazamento de banco de dados. Por hash no cliente, a senha não deixa o navegador do usuário e até o aplicativo da web não aprende a senha.
Você deve ser o segredo do cliente Hash?
O segredo do cliente é recomendado por motivos de segurança. O hash unidirecional do segredo do cliente fornece segurança adicional contra os atacantes escondendo os valores secretos do cliente com texto simples da visualização na interface e no banco de dados.
Se eu houvesse a senha antes de enviá -la para o lado do servidor?
Deve ser irreversivelmente hashed antes de deixar o cliente, pois não há necessidade de o servidor saber a senha real. Hashing então transmitindo resolve problemas de segurança para usuários preguiçosos que usam a mesma senha em vários locais (eu sei que faço).
SHA256 é bom para o hash de senha?
Escolher um algoritmo lento é realmente preferido para o hash de senha. Dos esquemas de hash fornecidos, apenas PBKDF2 e BCRYPT são projetados para serem lentos, o que os torna a melhor opção para hash de senha, MD5 e SHA-256 foram projetados para serem rápidos e, como tal.