it-swarm.com.de

Ist es in Ordnung, ein Klartextkennwort über HTTPS zu senden?

Ich verstehe, warum das Passwort gesalzen und gehasht werden sollte, bevor es in der Datenbank gespeichert wird, aber meine Frage ist, ob es auf der Browserseite gehasht werden muss oder nur das Senden eines Klartext-Passworts über HTTPS als sicher angesehen wird.

Wenn es in Ordnung ist, gibt es ein Dokument, mit dem ich meinem Kunden beweisen kann, dass das System sicher ist? Wenn nicht, was sind die Best Practices?

31
user96738

Es ist üblich, "Klartext" -Kennwörter über HTTPS zu senden. Die Passwörter sind letztendlich kein Klartext, da die Client-Server-Kommunikation gemäß TLS verschlüsselt ist.

Das Verschlüsseln des Kennworts vor dem Senden in HTTPS bringt nicht viel: Wenn der Angreifer das verschlüsselte Kennwort in die Hände bekommt, kann er es einfach so verwenden, als wäre es das eigentliche Kennwort. Der Server würde den Unterschied nicht erkennen. Der einzige Vorteil besteht darin, Benutzer zu schützen, die dasselbe Kennwort für mehrere Websites verwenden, Ihre Website jedoch nicht sicherer machen.

33
Buffalo5ix

Das Senden von Passwörtern vom Browser an den Webserver über HTTPS ist Standard. Das Passwort wird beim Senden durch HTTPS verschlüsselt. Siehe https://stackoverflow.com/questions/962187/plain-text-password-over-https

8
mti2935

Wenn ein Benutzer ein Passwort in ein HTML eingibt <input type=password ...> Feld wird normalerweise so wie es ist an den Server gesendet, d. h. ohne Hashing oder Salting. Aus diesem Grund sollte dies niemals ohne HTTPS erfolgen.

Wenn Ihr HTTPS jedoch solide ist, sollte dies in Ordnung sein. Dies ist das, was die meisten Webanwendungen tun.

5
Mark Koek