asp.net会员密码安全

我注意到在查看mvc互联网应用程序的模板时，密码是以明文形式从客户端发送到服务器的，尽管我相信在存储在数据库中时它可能是加密/散列+盐渍的。

在这里增加安全性是最好的办法来启用SSL / HTTPS，还是最好在客户端散列密码，以便在路由到服务器时截获密码，或者这是矫枉过正的？

有什么在asp.net框架或第三方工具，这将有助于这样的客户端加密/哈希？

---

这里的正确解决方案是使用SSL加密页面（和SSL回发 - 意味着发布到同一个ssl页面或其他ssl页面）

如果您尝试在使用JavaScript发送之前对其进行加密或哈希，则只会让代码更加复杂，而不会增加安全性。

再说一些人认为，假设中间的某个人获得回发值，那么密码的散列通常为48到128位，小于具有密钥f 2048位的SSL安全性。 因此，如果您在发送密码之前散列密码，没有特别的收获。

我想到了另外一个问题：如果你在客户端对密码进行散列，那么你公开了你的密钥，如果有人得到你的密钥，那么可以从散列创建，给出相同散列的密码。 所以不要在你的客户端上输入你的密码，因为你也有一个安全问题。

链接地址: http://www.djcxy.com/p/3675.html

上一篇: asp.net membership password security

下一篇: Where do I salt and hash my Passwords? At the client or at the host?