J'ai remarqué que la plupart des sites envoient les mots de passe en texte brut sur HTTPS vers le serveur. Y a-t-il un avantage si au lieu de cela j'ai envoyé le hachage du mot de passe au serveur ? Serait-ce plus sûr ?
Réponses
Trop de publicités?
carnold
Points
916
Puisque c'est sur HTTPS, c'est vraiment très bien d'envoyer le mot de passe sans hachage (sur HTTPS ce n'est pas du texte en clair). De plus, si votre application dépend de HTTPS pour garder son contenu sécurisé, alors il est inutile de hacher le mot de passe avant de l'envoyer sur HTTPS (c'est-à-dire si un attaquant peut déchiffrer les données sur le fil, vous êtes foutu de toute façon)
Paul Keister
Points
7179
Envoyer un hachage sur le fil va complètement à l'encontre du but du hachage, car un attaquant peut simplement envoyer le hachage et oublier le mot de passe. En un mot, un système qui s'authentifie en utilisant un hachage dans un texte clair est largement ouvert et peut être compromis avec rien de plus qu'un reniflement de réseau.
