Ist es sinnvoll, ein Passwort in JavaScript vor dem Senden zu verschlüsseln?
-
27-10-2019 - |
Frage
Ich folge dem Beispiel auf http://marakana.com/blog/examples/php-implementing-secure-login-with-php-javascript-and-Session-without-Sl.html
Das, was ich nicht vollständig verstehe, ist, was der Gewinn dadurch ist? Das geheime Wort ist in der Form veröffentlicht, so dass jeder, der schnüffeln könnte, sicherlich dieses geheime Wort sowie das JavaScript sehen und das Passwort trotzdem herausfinden können. Ist es wirklich sinnvoll, dies zu tun?
Lösung
Ein Abhändungspunkt wäre nicht in der Lage, das Passwort abzuleiten, da er nur weiß:
- Das geheime Wort
- das Hash der geheimen Wort/Passwort -Kombination
Da Hashes ein Weg sind, können Sie das Passwort selbst nicht von diesen ableiten.
Was du bekommst: Der Benutzer hat ein Passwort eingerichtet, das der Server überprüfen kann, ohne das Klartextkennwort selbst senden zu müssen.