提问人:jacob_g 提问时间:1/26/2023 更新时间:1/26/2023 访问量:1453
在前端也散列密码有意义吗?
Does it make sense to also hash password on frontend?
问:
我知道密码应该在后端进行哈希/加盐处理,并且应该使用 HTTPS 进行传输。我担心的是,在帐户注册时,有一段代码可以通过放置不当的日志语句来暴露纯文本密码。
我知道多次散列密码并不理想,但要解决这个问题,是否可以接受(从安全治理的角度来看)在前端对密码进行哈希处理?
答:
1赞
Halvor Sakshaug
1/26/2023
#1
不可以,因为密码哈希应该使用盐和合适的(慢速)哈希算法,因此正确实现这一点,并且在将来对所有密码进行双重哈希处理时,需要比在日志中屏蔽密码更多的工作。
如果您使用带有快速哈希算法的无盐哈希,则可以使用现代哈希破解设备快速破解许多密码。
另请参阅在客户端哈希密码是否具有安全意义
评论