Sichere Verbindung ist in diesem Fall keine Option, aber zum Glück müssen auch keine sensiblen Informationen gesendet werden. Ich dachte, so etwas wie dies könnte Wäre dies ein einigermaßen sicheres Passwort-System?
Registrierung
arbeiten:- Benutzer gibt Benutzername/Passwort
- Sowohl mit einem Verschlüsselungsalgorithmus gehasht Client-Seite bekommen (ich denke bcrypt)
- Beide gesendete zum Server < - !!
Anmeldung:
- Server sendet dem Client eine zufällige Salz
- Benutzer Benutzername/Passwort eingibt
- Beide Client-Seite erhalten gehasht und das Passwort wieder mit zur Verfügung gestellt Salz
- Server gehasht wird Sucht den Hash des Benutzernamens und hasht auch den Hashwert des Passworts mit dem zu überprüfenden Salz
- Anmeldung erfolgreich/fehlgeschlagen
Es sollte solide genug sein, außer für den 3. Punkt der Registrierung, wo sie leicht abgeholt werden konnten, aber selbst wenn der Angreifer die Benutzer/Passwort Hashes hat, hat er nicht den Benutzer/Passwort und es gibt keine sensiblen Informationen für den Zugriff/volatile Aktionen durchzuführen, auch die Motivation, die Verbindung anzugreifen, sollte sehr gering sein.
Also abgesehen von Punkt 3 der Registrierung, gibt es noch andere Löcher, die Sie sehen können?
"Sichere Verbindung ist in diesem Fall keine Option" Punkt. Nein, in diesem Fall ist das, was Sie haben, in keiner Weise sicher. – PeeHaa
Ihr Plan wird den Hash-Schlüssel und den Hash-Algorithmus im Klartext senden. Es gibt keine Möglichkeit, das wäre sicher. – scrappedcola
Nutzlose Kommentare beiseite, dieses System geht immer noch hoch und eine sichere Verbindung ist immer noch keine Option, daran kann ich nichts ändern. Ich weiß, dass es nicht sicher sein wird, solange jemand die Verbindung mithört, obwohl ich immer noch das Beste brauche, was ich kann. – user81993