ログインが安全でない可能性があります

Question

私のアパートでは、建物が管理する私設WiFiネットワークに接続します。インターネットに接続するには、イントラネットサーバーが提供するWebページからサインインする必要があります。

私のブラウザが私のユーザ名とパスワードを保存するように求めていないという事実のために、私はソースがどのように完了したかを見ることにしました。うパスワードを塩漬けし、そのようにハッシュ化されている場合は、

password = hexMD5(
    '\360' + 
    document.login.password.value + 
    '\123\076\310\204\336\276\065\360\375\311\365\076\031\311\360\117' 
) 

きっと同じ：そうする時に、私は塩と思われるもので、パスワードをコンパイルしてからhexMD5に変換いくつかの奇妙なJSコードにぶつかりましたサーバー上で行う必要があります。これは、自分のパスワードがプレーンテキストで保存されていることを意味しますか？私はこれで間違っているかもしれないが、私は他の方法を見ていない。

これについての洞察は最も高く評価され、この質問が別のSEサイトのスイートであるかどうかを教えてください。

Answer 1

私は、hexMD5（）が任意の文字列をMD5ハッシュに変換する実装であると仮定しています。これが当てはまる場合、パスワードはプレーンテキストで保存されません。

バックエンドはMD5ハッシュを保存し、保存されたハッシュをログインから受信したハッシュと比較することができます。

しかし、彼らはログインで新しい塩を毎回作成するならば、その実装はmd5(salt + md5(password))に似たものでない限り、そう、彼らは、平文としてパスワードを保存している可能性があります。

セキュリティには、より多くの情報が必要な場合は、ハッシュに関する多くのスレッドがあります。