ダイジェスト認証の概念 - 実際に動作しますか？

Question

私の知る限り、ダイジェスト認証（片方向操作）はパスワードをハッシュし、ハッシュされたデータをサーバーに送信します。サーバーは保存されたパスワードを使用してハッシュし、受信したハッシュパスワードと同等かどうかを比較します。ミドルマンの攻撃から安全であると考えられています。

私が理解していないのは、私が中高年者のハッカーである場合、元のパスワードは必要ないということです。ハッシュパスワードはサーバーが比較するパスワードなので、ハッシュパスワードを使用してください。

このダイジェスト認証メカニズムの使用は何ですか？ この一般的な概要からは機能していないようです。

Answer 1

ダイジェスト認証は、あなたの説明どおりに動作しません。

1. サーバには、ハッシュされていないパスワードは保存されません。サーバーはUsername：realm：passwordのハッシュを格納します。
2. クライアントは、すべての認証で同じハッシュを送信しません。

ダイジェスト認証は、チャレンジレスポンスプロトコルです。プロセスを開始するために、クライアントは保護されたURLを要求し、サーバーは領域とnonceで応答します。クライアントが計算する領域とnonceを使用しています。

md5(md5(username:realm:password):nonce:md5(httpMethod:uri)) 

ナンスは異なるハッシュ値を生成するために、各認証が発生し、そうすることでリプレイ攻撃を防ぐことができます。さらに、プレーンテキストのパスワードがワイヤを通過しないため、通信に耳を傾けている攻撃者に対して（弱い）保護を提供しますが、攻撃者がいったんハッシュを解読してもそれを解消するわけではありません。