क्या एचटीटीपीएस पर भेजने से पहले हैश पासवर्ड आवश्यक है?

Question

मैं दोनों वेब विकास (इस जनवरी को शुरू किया गया) और वेब सुरक्षा (एक सप्ताह पहले से भी कम शुरू हुआ!) के लिए नया हूं, इसलिए कृपया मेरा क्षमा करें यदि मेरा प्रश्न पूरी तरह से अशिक्षित, गलत जानकारी या सादा सरल बेवकूफ है।

कंपनी जो मैं मुख्य उत्पाद के लिए काम करता हूं वह एक अच्छी पुरानी क्लाइंट/सर्वर प्रणाली है। इसे अपने ग्राहकों के लिए अधिक आकर्षक बनाने के लिए, मुझे सरल-कार्य-केंद्रित वेब अनुप्रयोगों का एक समूह विकसित करने का कार्य दिया गया है जो सिस्टम के पूरे-व्यवसाय-प्रक्रिया-केंद्रित डिजाइन को पूरक बनाता है। उदाहरण के लिए, यदि संगठन में किसी उपयोगकर्ता की भूमिका में खरीद आदेश और भुगतान आदेशों को मंजूरी देने में शामिल होता है, तो उन्हें खरीद और ट्रेजरी मॉड्यूल दोनों खोलने और क्रमशः खरीद आदेश और भुगतान आदेशों को स्वीकार करने के लिए वेबएप्रप्रोल्स एप्लिकेशन का उपयोग करना आसान हो सकता है। ।

कहने की जरूरत नहीं है, मेरे सभी वेब अनुप्रयोगों में लॉगिन पृष्ठ है। और, ज़ाहिर है, मुझे उन्हें सुरक्षित होने की ज़रूरत है। इसी कारण से, डिज़ाइन द्वारा, इन वेब अनुप्रयोगों का उपयोग केवल HTTPS पर किया जा सकता है, कभी भी सादे HTTP पर नहीं।

अब, मैं जानना चाहता हूं कि बिना किसी सुरक्षा उपायों के HTTPS पर पासवर्ड भेजना कितना सुरक्षित है। क्या यह पर्याप्त सुरक्षित है? सुरक्षा क्षेत्र में अनुभव रखने वाले लोगों को क्या कहना है?

Answer 1

एचटीटीपीएस परिवहन सुरक्षा को संभालेगा, इसलिए ग्राहक पक्ष पर हैश करने का कोई कारण नहीं है। यदि आप ऐसा करते हैं, तो सर्वर के दृष्टिकोण से, हैश पासवर्ड अनिवार्य रूप से असली हो जाता है। अगर कोई आपके डेटाबेस को चुरा लेता है, तो प्रत्येक पंक्ति के बाद उस सर्वर पर वह मान होगा जो सर्वर को नेटवर्क पर प्राप्त करने की अपेक्षा करता है। हमलावर बस एक नया ग्राहक बना सकता है जो किसी भी असली हैशिंग के साथ परेशान किए बिना सीधे हैश भेजता है।

हालांकि, नेटवर्क पर भेजे गए पासवर्ड को डेटाबेस में कभी भी संग्रहीत नहीं किया जाना चाहिए। इसके बजाय, एक प्रति उपयोगकर्ता यादृच्छिक नमक होना चाहिए। इसका उपयोग हैश पासवर्ड सर्वर-साइड पर किया जाना चाहिए।

Salting Your Password: Best Practices? देखें।