http bcrypt 发送用户名和密码答案

【问题标题】：http bcrypt sending username and passwordhttp bcrypt 发送用户名和密码
【发布时间】：2014-05-14 03:12:24
【问题描述】：

通过 http post 发送 bcrypt 加密的用户名和密码是否安全？我基本上只是想为我的朋友设置一个服务器，使用加密的用户名和密码，以便他们可以访问我服务器上的内容。

【问题讨论】：

密码和用户名应该以纯文本形式发送到服务器并通过 bcrypt 进行检查
要添加到 Didar_Uranov 的评论中，您可以使用 SSL/TLS 加密网络上的流量。使用这种方法，您不必实施客户端加密。但要意识到这种安全性取决于信任 SSL/TLS 实施、证书颁发机构和证书维护者。
密码散列算法（如 bcrypt）解决了不同的问题。如果您存储用户密码的加密哈希（例如 bcrypt）而不是密码本身，那么获得密码数据库访问权限的攻击者发现实际用户密码的难度要大得多。

标签： http post encryption bcrypt

【解决方案1】：

这与在没有 SSL/TLS 安全网的情况下以明文进行所有通信一样危险。没有太大的好处。

如果您关心安全性，请确保使用 SSL/TLS 等通用标准通过网络对所有用户名和密码进行加密。最近这种方法存在许多漏洞（例如 OpenSSL），因此值得研究建立安全通信通道的方法。 OWASP 是 Web 应用程序安全策略的重要资源。

Bcrypt 不是用于加密通信，但它是一种密码散列函数，特别适合密码散列。

在决定是接受还是拒绝登录尝试时，服务器需要知道什么？它必须决定客户端提供的用户名和密码是否正确。有趣的是，您可以通过存储难以逆转的密码派生而不是密码本身来做到这一点。好处？如果有人可以访问您的密码数据库，您的用户密码应该仍然是安全的。这并不是说您应该发布您的密码数据库，但最好设计一切，就好像这可能发生一样。

【讨论】：