javascript – ¿Por qué casi no hay páginas web con contraseñas hash en el cliente antes de enviarlas (y aplicarlas nuevamente en el servidor), como para "protegerlas" contra la reutilización de contraseñas?

Pregunta:

Hay muchos sitios en Internet que requieren información de inicio de sesión, y la única forma de protegerse contra la reutilización de contraseñas es la "promesa" de que las contraseñas tienen hash en el servidor, lo cual no siempre es cierto.

Entonces, me pregunto, ¿qué tan difícil es crear una página web que use el hash de las contraseñas en la computadora del cliente (con Javascript), antes de enviarlas al servidor, donde se volverían a hacer hash? En teoría, esto no proporciona ninguna seguridad adicional, pero en la práctica esto se puede utilizar para proteger contra "sitios fraudulentos" que no hash su contraseña en el servidor.

Respuesta:

¿Por qué no se usa? Porque es mucho trabajo extra para una ganancia cero. Un sistema así no sería más seguro. Incluso podría ser menos seguro porque da la falsa impresión de ser más seguro, lo que lleva a los usuarios a adoptar prácticas menos seguras (como reutilización de contraseñas, contraseñas de diccionario, etc.).

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım