asp.net会員パスワードセキュリティ

Question

mvcインターネットアプリケーション用のテンプレートを見ると、クライアントからサーバーにプレーンテキストでパスワードが送信されていることがわかりましたが、データベースに格納されたときに暗号化/ハッシュ+塩漬されている可能性があります。

SSL/HTTPSのみを有効にするためにセキュリティを強化するのが最善の方法ですか、またはクライアント側でパスワードをハッシュしてサーバーに途中で傍受されないようにするのが最善でしょうか、

このようなクライアント側の暗号化/ハッシュに役立つasp.netフレームワークまたはサードパーティのツールには何かがありますか？あなたはそれを暗号化したりする前に、それをハッシュしようとした場合、それを送信

-

Answer 1

ここに正解はSSL暗号化されたページ（同じSSLページに、または他のSSLページにポストを意味し、SSLポストバック）を使用することですjavascriptを使用すると、コードが複雑になり、セキュリティをあまり重視しなくなります。

もう少し考えてみましょう。中にはバックポスト値を取得する人がいるとしましょう。パスワードのハッシュは通常48〜128ビットで、鍵は2048ビットのSSLセキュリティ未満です。あなたがそれを送る前にパスワードをハッシュするなら、特別な利益はありません。

もう1つの問題がありました。クライアント側でパスワードのハッシュを作成してからキーを公開し、キーを取得した場合は、ハッシュから同じものを作成することができますハッシュ。したがって、セキュリティ上の問題があるため、クライアント上でパスワードのハッシュ/ソルトを作成しないでください。