3
我很抱歉,如果這之前已經問過,但我希望得到一個最新的答案。最佳實踐 - 即使通過https發送密碼時也能加密密碼?
我對服務器端的安全性非常陌生,我想正確地做到這一點。
我的問題:加密通過HTTPS發送的密碼是否是最佳做法?
我已經看到文章推薦使用Javascript來加密密碼,然後在POST變量中發送密碼,但我不確定使用HTTPS時這是否有必要。
請注意:我有每個散列&存儲在數據庫中的密碼的意圖。
A
回答
5
如果使用HTTPS,沒有太多的理由來加密客戶端和服務器之間發送的數據。 HTTPS爲你做到了這一點,所以任何進一步的加密都是多餘的。
我能想到的預先加密密碼的唯一原因是將其散列在客戶端,以避免在服務器內存或日誌中保留清除密碼。這有點偏執,可能在現實世界中沒有多大用處。日誌不應記錄密碼,而且如果有人可以訪問服務器內存,除了密碼加密之外,還有其他問題需要解決。
此外,加密客戶端中的密碼允許其他人查看加密/哈希是如何執行的。恕我直言,這比安裝在服務器內存幾毫秒更安全的風險。
+0
我也覺得這有點多餘,但希望聽到有更多經驗的人確保;確定。感謝您的反饋。我很感激幫助。 – UberNubIsTrue
相關問題
- 1. 通過HTTPS發送密碼:GET與POST
- 2. 無密碼SSH最佳實踐
- 3. 密碼鹽:其他最佳實踐
- 4. 即使輸入密碼,當前密碼也不能爲空
- 5. 什麼是加密/解密密鑰管理最佳實踐
- 6. 加密密碼的最佳算法
- 7. 在通過HTTPS發送密碼之前是否需要散列密碼?
- 8. 標準輸入使用時的密碼最佳實踐
- 9. 如何使用https發送密碼?
- 10. 在通過GET發送url之前在PHP中加密密碼
- 11. 通過Internet發送未加密的密碼
- 12. 我如何加密密碼並通過httpservice發送flex
- 13. 密碼恢復,而不通過電子郵件發送密碼
- 14. 如果用戶忘記密碼,通過郵件發送密碼
- 15. 在C#中實現加密和解密的最佳實踐
- 16. 客戶端加密的最佳實踐
- 17. java中的加密 - 最佳實踐?
- 18. MySQL加密的最佳實踐?
- 19. 通過網絡發送密碼
- 20. 使用CryptoJS發送'密碼密碼'(密鑰/ iv)
- 21. 發送明文密碼通過HTTP重定向到HTTPS
- 22. 是否發送未加密的密碼是一個很好的實踐?
- 23. 瞭解SQL Server加密(通過密碼)?
- 24. 通過JNDI更新LDAP加密密碼
- 25. 通過密碼
- 26. 通過電子郵件發送密碼
- 27. jQuery,通過ajax發送密碼?
- 28. 加密密碼
- 29. 加密密碼觸發器
- 30. 將密鑰或密碼用於加密的最佳位置?
http://security.stackexchange.com/questions/17979/is-sending-password-to-user-email-secure – LolaRun