2012-12-27 75 views
3

我很抱歉,如果這之前已經問過,但我希望得到一個最新的答案。最佳實踐 - 即使通過https發送密碼時也能加密密碼?

我對服務器端的安全性非常陌生,我想正確地做到這一點。

我的問題:加密通過HTTPS發送的密碼是否是最佳做法?

我已經看到文章推薦使用Javascript來加密密碼,然後在POST變量中發送密碼,但我不確定使用HTTPS時這是否有必要。

請注意:我有每個散列&存儲在數據庫中的密碼的意圖。

+0

http://security.stackexchange.com/questions/17979/is-sending-password-to-user-email-secure – LolaRun

回答

5

如果使用HTTPS,沒有太多的理由來加密客戶端和服務器之間發送的數據。 HTTPS爲你做到了這一點,所以任何進一步的加密都是多餘的。

我能想到的預先加密密碼的唯一原因是將其散列在客戶端,以避免在服務器內存或日誌中保留清除密碼。這有點偏執,可能在現實世界中沒有多大用處。日誌不應記錄密碼,而且如果有人可以訪問服務器內存,除了密碼加密之外,還有其他問題需要解決。

此外,加密客戶端中的密碼允許其他人查看加密/哈希是如何執行的。恕我直言,這比安裝在服務器內存幾毫秒更安全的風險。

+0

我也覺得這有點多餘,但希望聽到有更多經驗的人確保;確定。感謝您的反饋。我很感激幫助。 – UberNubIsTrue