Itqualityassurance
- Adalah kata sandi hashed di sisi klien?
- Haruskah Anda hash client secret?
- Haruskah saya hash kata sandi sebelum mengirimkannya ke sisi server?
- Apakah SHA256 bagus untuk hashing kata sandi?
Adalah kata sandi hashed di sisi klien?
Dengan hashing di server, kata sandi dilindungi secara memadai bahkan dalam hal kebocoran database. Dengan hashing pada klien, kata sandi tidak meninggalkan browser pengguna dan bahkan aplikasi web tidak mempelajari kata sandi.
Haruskah Anda hash client secret?
Hashing rahasia klien direkomendasikan untuk alasan keamanan. Hashing satu arah dari rahasia klien memberikan keamanan tambahan terhadap penyerang dengan menyembunyikan nilai rahasia klien plaintext dari tampilan di kedua antarmuka dan database.
Haruskah saya hash kata sandi sebelum mengirimkannya ke sisi server?
Seharusnya hash secara ireversibel sebelum meninggalkan klien karena tidak perlu server mengetahui kata sandi yang sebenarnya. Hashing kemudian mentransmisikan memecahkan masalah keamanan untuk pengguna malas yang menggunakan kata sandi yang sama di beberapa lokasi (saya tahu saya lakukan).
Apakah SHA256 bagus untuk hashing kata sandi?
Memilih algoritma yang lambat sebenarnya lebih disukai untuk hashing kata sandi. Dari skema hashing yang disediakan, hanya PBKDF2 dan BCRYPT yang dirancang agar lambat yang menjadikannya pilihan terbaik untuk Hashing Kata Sandi, MD5 dan SHA-256 dirancang untuk menjadi cepat dan karena itu membuat mereka menjadi pilihan yang kurang ideal dari ideal.
