Come faccio a implementare un login sicuro? Il seplice md5 può bastare ad avere una sicurezza accettabile? Quanto è più vulnerabile rispetto ad un protocollo sicuro ssl??
Come faccio a implementare un login sicuro? Il seplice md5 può bastare ad avere una sicurezza accettabile? Quanto è più vulnerabile rispetto ad un protocollo sicuro ssl??
MD5 è "decentemente" sicuro quando non vuoi che dalla password cifrata si possa ricavare la password in chiaro, quindi più che altro potrebbe proteggere le password da amministratori malintenzionati, o da malintenzionati che riescono a procurarsi le password sul database in qualche modo.
Però, che tu usi MD5 o meno, se non usi SSL la password è intercettabile mentre viaggia sulla rete se qualcuno ha accesso a uno degli apparati che portano dal browser al server, e sia che sia cifrata sia che non lo sia, è possibile riutilizzarla a scopi malevoli.
Non conosco bene i dettagli di SSL, ma sicuramente rende la password inutilizzabile se viene intercettata (più che altro perché a chi intercetta arriva un flusso di dati indecifrabile), e stando attenti alla validità dei certificati è anche possibile capire se qualcuno sta cercando di fare il furbo sostituendosi al server legittimo, magari con un raggiro del DNS.
He who re-invents the wheel understands much better how a wheel works.
Permessi di invio
Rispondi quotando