Будет ли правильной такая схема работы с паролем? Подскажите, правильной ли будет такая схема работы при регистрации:введенные пользователем данные (пароль не шифруется, передается как есть) пересылаются по HTTPS на серверпо прибытию на сервер данные сохраняются в БД (пароль предварительно перед заносом в БД хешируется)
И схема работы при входе в аккаунт:так же не зашифрованные данные передаются по HTTPSпо прибытию на сервер они проверяются на валидность с теми которые, в БДесли они не валидны то пользователю отсылается сигнал о том что данные введены неверноесли они валидны то здесь у меня возникает второй вопрос: что делать дальше?
P.S. клиентом является Android приложение
P.P.S. Не забудьте про первый вопрос "правильным ли будет такая схема?"

21 Авг 2019 в 07:12
188 +1
2
Ответы
1

Эта схема работы с паролем имеет несколько уязвимостей и не является оптимальной с точки зрения безопасности данных пользователя.

Во-первых, передача пароля в открытом виде по HTTPS не является безопасным способом. Хотя HTTPS обеспечивает защищенное соединение между клиентом и сервером, лучше всего передавать пароль в зашифрованном виде, например, используя протокол хеширования паролей (например, bcrypt).

Во-вторых, хранение паролей в базе данных без шифрования также не является хорошей практикой. Рекомендуется хранить хешированные пароли в базе данных, чтобы защитить данные пользователей от утечки при взломе.

При входе в аккаунт, вам следует проверять введенные данные на валидность с помощью хеш-функции и сравнивать их с хеш-значением из базы данных. Если данные не совпадают, следует отсылать сообщение об ошибке пользователю.

Что делать дальше после валидации данных пользователя зависит от бизнес-логики вашего приложения. Например, вы можете предоставить пользователю доступ к его личному кабинету или к другим функциям приложения.

В целом, данная схема работы с паролем имеет недостатки с точки зрения безопасности данных пользователя. Рекомендуется использовать более надежные методы хеширования паролей и передачи данных по защищенному каналу для обеспечения безопасности ваших пользователей.

20 Апр в 13:05
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Название заказа не должно быть пустым
Введите email
Бесплатные доработки
Гарантированные бесплатные доработки
Быстрое выполнение
Быстрое выполнение от 2 часов
Проверка работы
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Название заказа не должно быть пустым
Введите email
Доверьте свою работу экспертам
Разместите заказ
Наша система отправит ваш заказ на оценку 92 493 авторам
Первые отклики появятся уже в течение 10 минут
Прямой эфир