¿Cuál es la mejor forma de cifrar la contraseña del usuario en el navegador del cliente antes de enviarla al servidor web, de modo que solo se elimine el hash, no la contraseña de texto sin formato?Hash de contraseñas en el navegador del cliente
EDITAR: suponiendo que se utiliza HTTP (no HTTPS)
espero que usted está planeando enviar el hash de más de un canal seguro, o esto es parte de un mecanismo de desafío/respuesta. De lo contrario, esto no es más seguro que enviar la propia contraseña en texto plano ... –
@Roger Lipscombe, este método puede ser en realidad una ligera mejora para el usuario. Incluso si no hay un canal seguro disponible (solo SSL funcionaría, ninguna alternativa de JS sería a prueba de balas), al menos haría que el hash fuera exclusivo del sitio. Para hacer el hash único, por supuesto, * tiene que ser salado *. – Inshallah
Concedió que haría que el hash fuera exclusivo del sitio; es útil si el usuario usa la misma contraseña en varios sitios; no impide la reproducción contra el mismo sitio. Y, seguramente, si el hash es salado, entonces la sal debe ir del cliente al servidor, no más segura que antes; o de otra manera, en cuyo caso es un desafío/respuesta. –