对于1.我可以MD5表格数据。
For 2.我可以生成一个nonce并将其与客户端密码一起哈希。
对于3.我可以使用存储在DB中的salt并仅在DB
中保存MD5(密码| salt)现在出现问题,对于1和2,我将向服务器发送MD5(密码| nonce),但我无法对其进行授权,因为我没有用于检查的原始密码。
我可以同时获得1,2,3吗?
答案 0 :(得分:2)
对于1.和2.使用HTTPS(SSL)。它可以防止主动和被动攻击,重放,保密密码。
对于3使用专用密码哈希和每用户盐。标准选择是scrypt,bcrypt和PBKDF2。对细节进行一些研究,我们在这里和安全性方面有很多相关的问题。 SE。
答案 1 :(得分:-2)
对于传输安全性,请使用SSL / TLS。 对于重放保护,请使用CSRF令牌。 对于安全密码存储,请使用密钥哈希something like this.
修改:提出的方案并非不安全,您可以在此post at security.se
中详细了解此提示