Нет разницы между этим паролем и открытым текстом клиента. За исключением этого случая, Боб не может украсть ваши другие учетные записи в других службах. Да, Боб может войти в систему, если он знает пароль пользователя, но это до 2-х факторов и реализаций, которые могут замедлить догадки.
льку последние проблемы с GitHub и Twitter:
GitHub случайно записал некоторые незашифрованные пароли во внутренние журналыTwitter допускает запись незашифрованных паролей во внутренние журналы, как в GitHubМне было интересно, почему не лучшая практика для шифрования пароля как на клиенте, так и на сервере? Поскольку я не буду менять ничего, что уже является наилучшей практикой для серверной стороны (соль, сильный хэш, HTTPS), это может быть только безопаснее. Сервер будет считать уже хешированный пароль паролем и снова хеширует его перед сохранением.
В случае, если я регистрирую весь запрос при возникновении исключения, если в запросе на вход в систему / регистрации происходит исключение, я никогда не получу доступ к незашифрованному паролю пользователя.Я знаю, что если кто-то получит доступ к этим паролям, хэшированным только на стороне клиента, либо с помощью MITM (что многие компании делают в своих частных сетях, заменяя сертификаты SSL), либо с помощью журналов или злонамеренного администратора сервера, они смогут использовать его для аутентификации на моем сайте, но не иметь доступа к незашифрованному паролю, поэтому он никогда не скомпрометирует учетную запись пользователя на других сайтах и в службах (даже для тех пользователей, которые повторно используют свои пароли)