网站/服务器所有者不能在散列之前读出密码吗？答案

【问题标题】：Can't a website/server owner read the passwords out before hashing?网站/服务器所有者不能在散列之前读出密码吗？
【发布时间】：2021-10-19 04:44:54
【问题描述】：

我刚刚阅读了很多关于散列的文章，并且使用 SSL 时不需要客户端散列。

所以我有一个网站，我在其中使用 bcrypt 对密码进行哈希处理，即加盐。但我可以在散列之前读出密码纯文本。
（就我而言：console.log(req.body.password）

如何防止这种情况发生？

【问题讨论】：

如果您不信任服务器，为什么要注册。无论如何，请阅读PAKE。这是题外话。在已经有 Q/A 的地方询问信息安全
即使您在客户端散列它，恶意网站所有者也可以在您之前使用 JavaScript 读取它。 console.log(document.getElementById("password").value) 并不难。

【解决方案1】：

问题是，你为什么要这样做。

您是网站所有者并对此类行为负责。当然，您可以将这些行添加到您的代码中并接收所有信息，不，没有办法阻止它。在您注册的每个网站上，明文密码总是会在某个时候传递给代码。

人们确实通过使用密码管理器来解决此类信任问题，该管理器会随机生成一个好的密码。

【讨论】：