Будет ли правильной такая схема работы с паролем? Подскажите, правильной ли будет такая схема работы при регистрации:введенные пользователем данные (пароль не шифруется, передается как есть) пересылаются по HTTPS на серверпо прибытию на сервер данные сохраняются в БД (пароль предварительно перед заносом в БД хешируется) И схема работы при входе в аккаунт:так же не зашифрованные данные передаются по HTTPSпо прибытию на сервер они проверяются на валидность с теми которые, в БДесли они не валидны то пользователю отсылается сигнал о том что данные введены неверноесли они валидны то здесь у меня возникает второй вопрос: что делать дальше? P.S. клиентом является Android приложение P.P.S. Не забудьте про первый вопрос "правильным ли будет такая схема?"
Эта схема работы с паролем имеет несколько уязвимостей и не является оптимальной с точки зрения безопасности данных пользователя.
Во-первых, передача пароля в открытом виде по HTTPS не является безопасным способом. Хотя HTTPS обеспечивает защищенное соединение между клиентом и сервером, лучше всего передавать пароль в зашифрованном виде, например, используя протокол хеширования паролей (например, bcrypt).
Во-вторых, хранение паролей в базе данных без шифрования также не является хорошей практикой. Рекомендуется хранить хешированные пароли в базе данных, чтобы защитить данные пользователей от утечки при взломе.
При входе в аккаунт, вам следует проверять введенные данные на валидность с помощью хеш-функции и сравнивать их с хеш-значением из базы данных. Если данные не совпадают, следует отсылать сообщение об ошибке пользователю.
Что делать дальше после валидации данных пользователя зависит от бизнес-логики вашего приложения. Например, вы можете предоставить пользователю доступ к его личному кабинету или к другим функциям приложения.
В целом, данная схема работы с паролем имеет недостатки с точки зрения безопасности данных пользователя. Рекомендуется использовать более надежные методы хеширования паролей и передачи данных по защищенному каналу для обеспечения безопасности ваших пользователей.
Эта схема работы с паролем имеет несколько уязвимостей и не является оптимальной с точки зрения безопасности данных пользователя.
Во-первых, передача пароля в открытом виде по HTTPS не является безопасным способом. Хотя HTTPS обеспечивает защищенное соединение между клиентом и сервером, лучше всего передавать пароль в зашифрованном виде, например, используя протокол хеширования паролей (например, bcrypt).
Во-вторых, хранение паролей в базе данных без шифрования также не является хорошей практикой. Рекомендуется хранить хешированные пароли в базе данных, чтобы защитить данные пользователей от утечки при взломе.
При входе в аккаунт, вам следует проверять введенные данные на валидность с помощью хеш-функции и сравнивать их с хеш-значением из базы данных. Если данные не совпадают, следует отсылать сообщение об ошибке пользователю.
Что делать дальше после валидации данных пользователя зависит от бизнес-логики вашего приложения. Например, вы можете предоставить пользователю доступ к его личному кабинету или к другим функциям приложения.
В целом, данная схема работы с паролем имеет недостатки с точки зрения безопасности данных пользователя. Рекомендуется использовать более надежные методы хеширования паролей и передачи данных по защищенному каналу для обеспечения безопасности ваших пользователей.