Si tuviera que hash la contraseña de un usuario antes de enviarla a través de la línea y dejarla en texto sin formato en la memoria, mejoraría la seguridad de la aplicación?¿Tiene sentido la seguridad de la contraseña hash en el extremo del cliente
Supongo que esto mitiga una pequeña fracción de las vulnerabilidades al proteger los datos almacenados en la memoria del cliente. Pero realmente si nos preocupa que alguien lea la memoria del cliente, probablemente haya problemas mayores que no podamos resolver.
Hay algo que no se siente bien acerca de hashing en el extremo del cliente.
¿La práctica de hash de la contraseña en el cliente es una práctica común? ¿Hay otras ventajas o desventajas para hacerlo?
EDITAR: Dado que el canal de comunicación es seguro (SSL). ¿Bajo qué condiciones sería aceptable y valioso usar dicho enfoque? Pregunto esto porque un "profesional de la seguridad" me sugirió que utilicé dicho esquema durante algunas funciones de la aplicación.
La respuesta aceptada es incorrecta. ** Te da una ventaja, ** siempre que salgas picando el hash en el lado del servidor también. Consulte http://security.stackexchange.com/a/23285/2379, http://security.stackexchange.com/a/23033/2379 – Pacerier