Quiero cifrar la contraseña en JQuery y descifrar en servlets. Por favor, dime el algoritmo que debo usar y cómo implementar esta cosa.

  • Idealmente, usted debe usar sólo la 1-forma de cifrado de contraseñas. En otras palabras, nunca descifrarlos.
  • No es realmente cifrado que usa con las contraseñas pero la mezcla.
  • y whatnick: cierto, pero debe hacerlo en el servidor, de lo contrario es como crear contraseñas aleatorias, y la transferencia de ellos en formato de texto a través de thew de alambre.
  • Se puede utilizar https/ssl para la transferencia al servidor? Como se dijo antes, en el servidor debe convertir la contraseña a un salado hash.
InformationsquelleAutor nitin | 2009-10-12

4 Comentarios

  1. 4

    Desea utilizar HMAC.

    Básicamente, usted enviar 2 sales para el cliente. Se debe almacenar en su base de datos

    md5(salt + pwd)

    enviar un único salt2 y la base de datos de sal para el usuario final, que vuelve a

    md5(salt2 + md5(salt + pwd))

    y, a continuación, se compara a la misma operación en el lado del servidor.

    Mientras variar la sal enviado y no aceptar que los viejos, es tan seguro como usted va a conseguir sin SSL. Definitivamente, usted no quiere tratar de usar AES o RSA nada similar.

    Si no te gusta el md5, el uso de cualquier otro algoritmo de hash de su elección.

    • Como yo era la adición de yahoo por ejemplo.
    • Inteligente. Vive y aprende!
  2. 0

    Este es un clásico problema de cifrado. El one-way hash descrito por whatnick funciona, pero hay problemas de seguridad. En particular, un atacante puede realizar un ataque de reproducción como el hash no puede ser salado, lo que significa que el usuario sólo puede enviar el hash que corresponde a la que has almacenado en la base de datos. En otras palabras, esta es casi la misma cosa como el envío de la contraseña en texto sin formato.

    La única manera de hacerlo correctamente es con un no-simétrica de clave pública cypher como RSA. He visto un Javascript aplicación aquí. Yo diría que esto es más complicado de lo necesario y que sólo haciendo un inicio de sesión seguro a través de SSL, es probablemente el más seguro y lo más fácil en el largo plazo.

  3. 0

    Un simple spot de Google tendría la respuesta. Los algoritmos disponibles parecen ser Blowfish, SHA y Rc4. Si desea descifrado blowfish sería el camino a seguir. Para conjuntos de datos más pequeños se puede utilizar rc4.

    Para un ejemplo práctico vistazo a cómo Yahoo hace su los inicios de sesión. El formulario de inicio de sesión tiene un campo oculto que actúa como la sal llamada «.desafío», esto está implícito en el hash de la siguiente manera:

    fullhash=MD5(MD5(passwd)+challenge)

    • SHA no está cifrado, pero hash, así que usted puede utilizar que. Blowfish, AES, RC4, tripleDES son el más común de los algoritmos de cifrado
    • Prefiero el hash de una contraseña de cifrar en términos de páginas web.
    • Yo sólo estaba comentando sobre la disposición de los plugins para Jquery y @Zed sí hash es el camino a seguir. El OP debería ser capaz de recuperar las contraseñas.
    • One-way hash no son suficientes. Debe utilizar algún tipo de asimetría cypher como RSA. Usted puede combinar RSA con un hash unidireccional, pero RSA (o similar) debe ser parte del paquete, de lo contrario, un atacante puede hackear su sitio (a partir de una de cifrado del punto de vista)
    • Steve: apoyar sus afirmaciones. Un one-way hash es perfectamente seguro para este tipo de cosas si es correctamente salado. MD5 podría ser un poco roto, pero SHA o cualquiera de los más modernos no lo son.

Dejar respuesta

Please enter your comment!
Please enter your name here