Должен ли я использовать хэш-пароли при отправке с использованием AJAX?

Я действительно смущен паролем хеширования при отправке через ajax и дезинфекции и проверки входа в php.

Должен ли я использовать хеш-пароли перед отправкой через ajax? Если я что-то делаю для дезинфекции и проверки хеширования пароля и хранения другого хэша ajax, представленного хешированным паролем в базе данных? Я знаю, что хеширование jayscript hashed-password здесь не имеет никакого смысла.

Любой может сказать, что лучше всего подходит для отправки паролей через ajax и дезинфекции/проверки в php.

2 ответа

Общий подход заключается в том, чтобы отправить пароли в виде обычного текста на сервер (с помощью вызова AJAX в вашем случае), а затем на сервере сделать хэширование, прежде чем вы попадете в базу данных либо для создания нового пользователя, проверяющего, установлен ли вставленный пароль правильный.


Если вы не используете HTTPS на проводе, вы можете выполнить хэш на клиенте, чтобы сделать его более сложным для хакера, чтобы получить пароль открытого текста. Конечно, лучше использовать HTTP.

Там также криптографический протокол под названием "Безопасный удаленный пароль", который предназначен для того, чтобы затруднить словарь атаковать пароль пользователя. Тем не менее, это требует немного работы.

http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol

licensed under cc by-sa 3.0 with attribution.