通过最初未加密的 https 加密密码 - 优点和缺点
Encrypting password over https that was initally not encrypted - pros and cons
我继承了一个流行的应用程序,其中用户凭据通过网络直接发送到身份验证端点。现在我有一项任务是 'hash' 防止中间人攻击等的凭据,因为你现在 https 刚刚被破坏所以一切皆有可能并且安全更好。
现在,想象一下,如果我使用 md5(密码),那么由于它是我无法在身份验证端点解密的一种方式。这意味着所有当前用户都必须重新设置密码,这样我才能再次对其进行哈希处理。
在这个问题上,处理用户密码一开始没有加密但现在应该加密的情况的最佳方法是什么?
最好的方法是修复您的 TLS 设置。如果您不能信任您的 TLS 连接,那么您也不能真正信任在浏览器中运行的任何东西。
由于您仍然将 MD5 与加密混淆,我强烈建议您不要创建自己的密码哈希协议。
我继承了一个流行的应用程序,其中用户凭据通过网络直接发送到身份验证端点。现在我有一项任务是 'hash' 防止中间人攻击等的凭据,因为你现在 https 刚刚被破坏所以一切皆有可能并且安全更好。
现在,想象一下,如果我使用 md5(密码),那么由于它是我无法在身份验证端点解密的一种方式。这意味着所有当前用户都必须重新设置密码,这样我才能再次对其进行哈希处理。
在这个问题上,处理用户密码一开始没有加密但现在应该加密的情况的最佳方法是什么?
最好的方法是修复您的 TLS 设置。如果您不能信任您的 TLS 连接,那么您也不能真正信任在浏览器中运行的任何东西。
由于您仍然将 MD5 与加密混淆,我强烈建议您不要创建自己的密码哈希协议。