Yerde giriş sistemi koymak istiyorum zaman, ben her zaman sunucu tarafında kullanıcıların tablodaki değeri ile verilen parola MD5 ile karşılaştırın.

Ancak, bir arkadaşım bir "" parola ağ yazılımı tarafından kokladı olabilir. bunu kesin olarak söyledi

Benim sorum ise şu: bu iyi bir fikir istemci tarafında parola karma için mi? Sunucu tarafında bu karma daha mı iyi?

Temelde, arkadaşın haklı. Ama sadece istemci tarafında şifre karma sadecesadecesunucuya düz metin olarak gönderilmesi daha iyi olur. Düz metin şifreleri için dinleyecek biri, kesinlikle de karma şifreleri dinlemek mümkün, ve sunucunuz karşı kendini doğrulamak için onu/bu yakalanan karma kullanın.

Bu konuya, daha güvenli kimlik doğrulama protokolleri genellikle atlamak arasında bir sayı çemberler için emin olun, bu tür bir yeniden saldırı çalışamaz, genellikle izin vererek, müşteri seçmek için bir sürü rasgele bit olan karma parolayla birlikte ve aynı zamanda teslim temizlemek için sunucu.

Sunucu:

• rastgele birkaç parça oluşturmak
• müşteri için bu bitler (düz metin olarak) gönderin

İstemci:

• rastgele birkaç bit oluşturur
• arada şifre, sunucu rasgele bit ve istemci rasgele bit
• yukarıda karma oluşturmak
• rasgele veri (düz metin) göndermek ve sunucuya karma

Sunucu da istemci rasgele bit (düz metin olarak var) gibi, kendi rasgele bir bilgi bildiği gibi, aslında aynı dönüşümü gerçekleştirebilir. Bu Protokol yapar tabii, bunu kimse dinlemiyor bu konuşmayı kullanabilir bilgiler daha sonra kimlik doğrulaması kullanarak yanlış bilgileri kayıtlı (sürece çok zayıf bir algoritma kullanılmıştır...) sürece, her iki taraf oluşturmak farklı "gürültü bit" her zaman, elini sıkmak yapıldı.

EditBu hata eğilimli ve sağ olsun sıkıcı ve biraz zor (güvenli). Şimdiye kadar mümkünse, kimlik doğrulama protokolü uygulamaları kullanarak zaten bilgili insanlar (benim gibi! tarafından yazıldı düşünün Yukarıda sadece bir süre önce okuduğum bir kitabın hafızasından.) Bunu gerçekten Kendin genelde yazmak istemiyorum.