0
Если я использую правила сложности парольной фразы на стороне сервера, и я заправляю и хэширую парольную фразу на стороне клиента, можно ли проверить правила сложности после того, как пароль достигнет сервера? Я бы предположил, что не или хеширование не очень полезноВозможно ли обеспечить защиту паролей на стороне сервера при использовании соленых хэшированных кодовых фраз?
Итак, в этом случае, как вы применяете сложность пароля?
Я в замешательстве, если вы не используете его на стороне клиента, вы отправляете простой текстовый пароль, который может быть захвачен человеком при средних атаках. Предположим, что мы хэш-клиент и снова, когда он достигает серверной части, чтобы обойти это, у нас по-прежнему возникает проблема неспособности обеспечить соблюдение правил сложности пароля на стороне сервера. – SMC
Чтобы избежать отправки паролей с открытым текстом, восприимчивых к человеку в средних атаках, обычно используется шифрованный протокол связи. Наиболее распространенным примером может служить HTTPS. Я рекомендую прочитать это, как обрабатывать пароли, http://security.stackexchange.com/questions/33793/handling-passwords-in-a-web-application. –