Tại sao hầu như không có trang web nào băm mật khẩu trong máy khách trước khi gửi (và băm chúng một lần nữa trên máy chủ), như để bảo vệ thành phố chống lại việc sử dụng lại mật khẩu?


46

Có nhiều trang web trên Internet yêu cầu thông tin đăng nhập và cách duy nhất để bảo vệ chống lại việc sử dụng lại mật khẩu là "lời hứa" rằng mật khẩu được băm trên máy chủ, điều này không phải lúc nào cũng đúng.

Vì vậy, tôi tự hỏi, làm thế nào là khó khăn để làm cho một trang web băm mật khẩu trong máy khách (với Javascript), trước khi gửi chúng đến máy chủ, nơi chúng sẽ được băm lại? Về lý thuyết, điều này không cung cấp thêm bất kỳ sự bảo mật nào, nhưng trong thực tế, điều này có thể được sử dụng để bảo vệ chống lại "các trang web lừa đảo" không băm mật khẩu của bạn trong máy chủ.


18
một mật khẩu băm được gửi trong sạch sẽ không tốt hơn một mật khẩu được gửi rõ ràng nếu máy chủ chỉ so sánh các giá trị băm, người đàn ông trong các cuộc tấn công ở giữa yêu thích loại "bảo mật" này

3
Giải pháp tốt nhất là (imo) một trình quản lý mật khẩu phía máy khách. Bằng cách đó, bạn có thể tạo một chuỗi ký tự ngẫu nhiên làm mật khẩu của mình và bạn không dựa vào máy chủ để 'bảo vệ' bạn.
Dean Harding

2
@Jarrod - tuy nhiên, nghe có vẻ như các trang web khác nhau sử dụng các thuật toán băm phía khách hàng khác nhau sẽ ngăn chặn cuộc tấn công được mô tả bởi truyện tranh đó. Một mật khẩu được sử dụng lại rộng rãi trở thành nhiều mật khẩu khác nhau thông qua các thuật toán băm khác nhau. Tính toán băm phía máy khách đó không ngăn các loại bảo mật khác được áp dụng - chẳng hạn như gửi băm thông qua kết nối an toàn.
Steve314

2
@ Steve314 quan điểm của tôi là bất cứ điều gì trên máy khách đều bị xâm phạm theo mặc định. Bạn có thể băm và băm và băm, nếu nó đang được thực hiện trên máy khách và được chuyển qua lại cho máy chủ trong clearđó chỉ là thủ dâm toán học tại thời điểm đó. Tôi đã phải sửa một hệ thống mà tôi được thừa hưởng, nó được thiết kế theo cách chính xác mà bạn và OP mô tả, nó liên tục bị hack bởi những thanh thiếu niên với Wireshark. Chúng tôi chỉ khóa nó khi chúng tôi REALmã hóa và mã hóa và ký tất cả các tải trọng đến và từ máy chủ, thao tác tài khoản đã dừng và không bao giờ xảy ra nữa sau đó.

5
Có vẻ như kế hoạch của bạn để bảo vệ bản thân trước các trang web lừa đảo là yêu cầu các trang web lừa đảo để thiết lập bảo mật tốt hơn. ?
pc1oad1etter

Câu trả lời:


46

Tại sao nó không được sử dụng? Bởi vì đó là rất nhiều công việc làm thêm để đạt được không. Một hệ thống như vậy sẽ không an toàn hơn. Nó thậm chí có thể kém an toàn hơn vì nó mang lại ấn tượng sai về việc bảo mật hơn, khiến người dùng áp dụng các thực tiễn kém an toàn hơn (như sử dụng lại mật khẩu, mật khẩu từ điển, v.v.).


2
Đây là câu trả lời tốt nhất cho đến nay.

1
Nó giống như mã hóa Blu-Ray và DVD. Nó thậm chí không cần chìa khóa để mở khóa. "Sự bảo vệ" duy nhất mà nó cung cấp là khi DVD ra mắt, chi phí nhiều hơn để mua một đĩa để sao chép nó hơn là mua một bản sao đầy đủ của bộ phim. Tất nhiên bây giờ bạn có thể mua một đĩa DVD với giá một đô la và thậm chí nhiều hơn là thực tế là các khóa là kiến ​​thức công cộng bây giờ. Điều tương tự cũng xảy ra với Blu-Ray
Michael Brown

2
Tôi nghĩ băm mật khẩu phía máy khách sẽ tăng thêm tính bảo mật. Nếu tôi đang nghe, tôi chỉ có thể thấy hàm băm của bạn chứ không phải mật khẩu của bạn. Nếu máy chủ gửi một thách thức (nếu cần), hàm băm thậm chí không thể sử dụng lại được.
Andomar

2
Tôi nghĩ cách tiếp cận của x4u rất có thể phù hợp với một số ứng dụng trong đó các yêu cầu bảo mật nằm ở đâu đó giữa việc truyền mật khẩu trên dây và sử dụng chứng chỉ. Tôi nghĩ rằng một số người nói nay đang xem xét rằng việc băm mật khẩu trước khi nó đi vào dây được thực hiện cùng với việc xử lý thông tin xác thực phía máy chủ tiêu chuẩn. Vì vậy, câu hỏi là: Đề xuất của x4u có cải thiện bảo mật trong kịch bản truyền mật khẩu trên mạng hay không. Tôi nói nó làm. Chìa khóa để nhận ra điều này nằm ở việc sử dụng muối cho mỗi mật khẩu.
LOAS

6
Cách chính xác để ngăn chặn các cuộc tấn công MITM là mã hóa đầu cuối. TLS (https) tồn tại: sử dụng nó. Đừng phát minh ra các chương trình tiền điện tử của riêng bạn.
Rein Henrichs

14

Về lý thuyết, điều này không cung cấp thêm bất kỳ sự bảo mật nào, nhưng trong thực tế, điều này có thể được sử dụng để bảo vệ chống lại "các trang web lừa đảo" không băm mật khẩu của bạn trong máy chủ.

Làm thế nào chính xác điều này bảo vệ bạn? Có vẻ như tất cả những gì bạn muốn làm là băm mật khẩu băm là vô nghĩa. Bởi vì mật khẩu băm sau đó sẽ trở thành mật khẩu.

Có nhiều trang web trên Internet yêu cầu thông tin đăng nhập và cách duy nhất để bảo vệ chống lại việc sử dụng lại mật khẩu là "lời hứa" rằng mật khẩu được băm trên máy chủ, điều này không phải lúc nào cũng đúng.

Làm thế nào về việc không sử dụng cùng một mật khẩu cho nhiều hơn một trang web. Lý do các trang web băm mật khẩu trong lý thuyết là để ngăn truy cập vào tài khoản của bạn nếu HỌ bị xâm phạm. Sử dụng cùng một mật khẩu cho nhiều trang web chỉ là ngu ngốc.

Nếu bạn đã sử dụng javascript, tất cả "hacker" sẽ phải làm là, sử dụng cùng một phương pháp trên mật khẩu băm-băm. Khi bạn đã có thông tin băm, chỉ cần có thời gian để tính toán mật khẩu-> cùng một hàm băm trong cơ sở dữ liệu là yếu tố ngăn chặn quyền truy cập vào tài khoản.


1
Nếu trình duyệt của bạn luôn băm nó theo cùng một cách, thì có, hàm băm của bạn có thể được sử dụng làm mật khẩu ở mọi nơi khác. Nhưng điều gì sẽ xảy ra nếu các trình duyệt chỉ định một loại muối dựa trên trang web (có thể là tên miền?) Trước khi băm và gửi nó đến trang web? Tôi nghĩ đó là một ý tưởng thú vị.
Tesserex

2
nếu nó ở trên máy khách thì nó bị xâm phạm, bất kỳ muối nào trên máy khách đều ở chế độ xem đơn giản, đây là một câu hỏi phi logic. nếu bạn không hiểu câu trả lời của @ Ramhound, bạn không nên viết mã cần được bảo mật và bắt đầu đọc về bảo mật và mật mã ngay từ đầu.

3
Khi bạn trích dẫn poster gốc, vui lòng định dạng văn bản như vậy (chọn văn bản và sử dụng biểu tượng trích dẫn ngay phía trên trình chỉnh sửa)
Marjan Venema

1
Jarrod, xin vui lòng làm theo lời khuyên của riêng bạn và nhận được một chút thông tin cho mình trước khi bạn đưa ra yêu cầu vô lý. Một người đàn ông trong cuộc tấn công ở giữa là vô dụng đối với các hàm băm an toàn với độ dài muối hợp lý. Và đề nghị của tôi là không có cách nào "bảo mật bằng cách che khuất", nó thực sự an toàn dựa trên những gì hiện đang được các chuyên gia trong lĩnh vực này biết và chấp nhận và nó được sử dụng theo cách tương tự trong nhiều giao thức. Nó không phải là phát minh của tôi, tôi chỉ áp dụng một quy trình được hiểu rõ để đăng nhập trang web. Giả định sai lầm của bạn không đạt được bất kỳ chất nào bởi thực tế là chúng rõ ràng cũng được chia sẻ bởi nhiều người khác.
x4u

3
Nếu khách hàng biết muối và nó được gửi rõ ràng từ máy chủ, thì bất cứ điều gì ở giữa cũng biết điều đó. Không bao giờ nói, tôi cần hoàn tác hàm băm, nếu bạn biết muối trên máy khách, thì không an toàn.

11

Bởi vì nó sẽ thêm ít hoặc không có giá trị. Lý do băm là nếu cơ sở dữ liệu của bạn bị hack, tin tặc sẽ không có danh sách mật khẩu hợp lệ, chỉ băm. Do đó, họ không thể mạo danh bất kỳ người dùng nào. Hệ thống của bạn không có kiến ​​thức về mật khẩu.

Bảo mật đến từ chứng chỉ SSL cộng với một số hình thức xác thực. Tôi muốn người dùng của mình cung cấp mật khẩu để tôi có thể tính toán hàm băm từ nó.

Ngoài ra, thuật toán băm sẽ ở trên máy chủ trong một khu vực an toàn hơn. Đưa nó vào máy khách, thật dễ dàng để lấy mã nguồn cho Javascript, ngay cả khi các tệp script được tham chiếu ẩn của nó.


3
Đây là câu trả lời tốt nhất. Bạn nên mã hóa ở lớp vận chuyển. Không làm điều đó, phần còn lại không an toàn. Có, bạn có thể viết một chức năng mã hóa ... nhưng chức năng đó sẽ hiển thị cho người dùng cuối (độc hại). Sử dụng SSL.
pc1oad1etter

Tính bảo mật của thuật toán băm không nên phụ thuộc vào việc nó có bí mật hay không. Các thuật toán băm để bảo mật phải là các hàm một chiều: ngay cả khi bạn có mã, thật khó để hoàn tác nó. Ngược lại, bạn nên sử dụng một thư viện băm nổi tiếng được thiết kế chỉ dành cho mật khẩu. Nếu nó không nổi tiếng, nó gần như chắc chắn có lỗi hoặc bị xử lý sai.
leewz

6

Giải pháp đơn giản hơn thế. Giấy chứng nhận khách hàng. Tôi tạo chứng chỉ ứng dụng khách trên máy của mình. Khi tôi đăng ký với một trang web, chúng tôi bắt tay bằng chứng chỉ ứng dụng khách của tôi và chứng chỉ của máy chủ.

Không có mật khẩu nào được trao đổi và ngay cả khi ai đó hack cơ sở dữ liệu, tất cả những gì họ sẽ có là khóa công khai của chứng chỉ ứng dụng khách của tôi (cần được máy chủ lưu trữ và mã hóa để tăng mức độ bảo mật).

Chứng chỉ ứng dụng khách có thể được lưu trữ trên thẻ thông minh (và được tải lên kho tiền trực tuyến an toàn bằng mật khẩu chính).

Cái hay của tất cả là nó loại bỏ khái niệm lừa đảo ... bạn không bao giờ nhập mật khẩu vào một trang web, bạn chỉ bắt tay với trang web đó. Tất cả những gì họ nhận được là khóa công khai của bạn vô dụng nếu không có khóa riêng. Nhạy cảm duy nhất là tìm thấy một vụ va chạm trong khi bắt tay và điều đó sẽ chỉ hoạt động một lần trên một trang web duy nhất.

Microsoft đã cố gắng cung cấp một cái gì đó như thế này trong Windows với Thẻ không gian và sau đó đã gửi nó dưới dạng một tiêu chuẩn mở. OAuth có phần giống nhau nhưng nó dựa vào một "bên phát hành" trung gian. InfoCards mặt khác có thể được ban hành. Đó là giải pháp thực sự cho vấn đề mật khẩu ... xóa hoàn toàn mật khẩu.

OAuth là một bước đi đúng hướng mặc dù.


5
Mặc dù chứng chỉ ứng dụng khách là một cách tiếp cận hợp lý cho một số trường hợp sử dụng, nhưng chúng không phải là thứ có thể dễ dàng thêm vào đăng nhập trang web. Họ yêu cầu rất nhiều sự hợp tác từ người dùng và phụ thuộc vào mức độ an toàn của khóa riêng tư của người dùng. Việc sử dụng khóa riêng có thể an toàn hoặc thuận tiện nhưng không phải cả hai cùng một lúc.
x4u

5

hầu hết các câu trả lời ở đây dường như hoàn toàn bỏ lỡ điểm băm mật khẩu phía máy khách.

vấn đề không phải là bảo mật truy cập vào máy chủ mà bạn đang đăng nhập, vì việc chặn băm không an toàn hơn việc chặn mật khẩu văn bản đơn giản.

vấn đề thực sự là bảo mật mật khẩu của người dùng , thường có giá trị hơn nhiều so với truy cập đăng nhập trang cá nhân vì hầu hết người dùng sẽ sử dụng lại mật khẩu của họ cho nhiều trang web (họ không nên nhưng thực tế là họ không nên xóa nó ).

ssl rất tốt để bảo vệ chống lại các cuộc tấn công của mitm, nhưng nếu một ứng dụng đăng nhập bị xâm phạm trên máy chủ, ssl sẽ không bảo vệ người dùng của bạn. nếu ai đó có quyền truy cập độc hại vào máy chủ web, họ có thể sẽ chặn mật khẩu ở dạng văn bản đơn giản vì trong hầu hết các trường hợp, mật khẩu chỉ được băm bởi tập lệnh trên máy chủ. sau đó kẻ tấn công có thể thử các mật khẩu đó trên các trang web khác (thường có giá trị hơn) bằng cách sử dụng tên người dùng tương tự.

bảo mật là phòng thủ theo chiều sâu và băm phía khách hàng chỉ cần thêm một lớp khác. hãy nhớ rằng trong khi bảo vệ quyền truy cập vào trang web của riêng bạn là rất quan trọng, thì việc bảo vệ bí mật mật khẩu của người dùng của bạn lại quan trọng hơn nhiều vì việc sử dụng lại mật khẩu trên các trang web khác.


2
Câu trả lời được chấp nhận chia sẻ quan điểm của bạn khá tốt. Mặc dù "hầu hết các câu trả lời" không và vì câu trả lời của bạn không thực sự bổ sung nhiều giá trị, nhưng không có lý do gì để hồi sinh câu hỏi này.
Frank

Có lẽ đó là một nhận xét nhiều hơn là một câu trả lời (xin lỗi vì đã không tìm ra cách thêm vào chuỗi nhận xét câu trả lời được chấp nhận), và mặc dù quan điểm của tôi được chia sẻ trong câu trả lời được chấp nhận, nhưng dường như không đủ rõ ràng vì có vẻ như trả lời để đánh nó đi cảm ơn vì đã phản hồi
nạng

@Frank biên giới câu trả lời được chấp nhận là quá dài để đọc. nó đi vào quá nhiều chi tiết về cách thức này có thể được thực hiện và lướt qua các lợi ích cho đến cuối cùng. Có một TL; DR trong một câu trả lời khác nhau là có lợi.
Jules

2
@Jules: Đó là lý do tại sao chỉnh sửa tồn tại.
Robert Harvey

1
@JarrodRoberson Tôi nghĩ bạn đang bối rối không còn an toàn với sự không an toàn ? Nếu MITM xảy ra, quyền truy cập vào trang web đã bị từ bỏ, phải không? Trừ khi bạn sử dụng chứng chỉ ứng dụng khách thay vì mật khẩu, điều này sẽ quá phức tạp đối với người dùng thông thường. Theo cách tôi thấy, băm phía khách hàng ngăn chặn cùng một mật khẩu bị xâm phạm trên các trang web khác, giả sử mỗi thuật toán băm là duy nhất. Nó có thể không an toàn hơn, nhưng nó cũng không kém an toàn theo bất kỳ cách nào? Vậy tại sao bạn lại thúc ép như vậy? Tôi đã xem qua điều này từ meta, và đây là câu trả lời tốt nhất tôi thấy cho đến nay.
zypA13510

1

Điều này là hoàn toàn có thể, và thực sự bạn không cần phải đợi một trang web.

Hãy xem SuperGenPass . Nó là một bookmarklet.

Nó chỉ đơn giản là nhận ra các trường mật khẩu, nối các nội dung bạn nhập với tên miền của trang web, băm nó, xé nó một chút để chỉ nhận các ký tự "được thừa nhận" trong mật khẩu và chỉ sau đó mật khẩu băm của bạn được gửi trên dây.

Bằng cách sử dụng tên miền trang web trong quy trình, do đó bạn có được một mật khẩu duy nhất cho mỗi trang web, ngay cả khi bạn luôn sử dụng lại cùng một mật khẩu.

Nó không phải là cực kỳ an toàn (base64-MD5), nhưng bạn phân phối hoàn hảo việc triển khai dựa trên sha-2 nếu bạn muốn.

Nhược điểm duy nhất là nếu tên miền thay đổi, trong trường hợp đó bạn sẽ cần yêu cầu trang web đặt lại mật khẩu của mình vì bạn sẽ không thể tự phục hồi nó ... mặc dù vậy, điều đó không xảy ra thường xuyên, vì vậy tôi coi đó là một đánh đổi chấp nhận được.


Đây là những gì tôi đã suy nghĩ khi tôi đọc câu hỏi; Trên thực tế, các trang web thực hiện băm phía khách hàng của mình là vô ích, nhưng một phần mở rộng trình duyệt thực hiện (sử dụng một số muối dựa trên tên miền) sẽ vô hiệu hóa các rủi ro liên quan đến việc sử dụng lại mật khẩu. Tất nhiên, phần thú vị sẽ đến khi bạn cố gắng đăng nhập từ một máy khác ...
Aaronaught

3
điều này không còn an toàn hơn bất kỳ lược đồ nào khác vượt qua mật khẩu rõ ràng. Nó làm cho mật khẩu trở nên độc đáo nhưng nó vẫn không được mã hóa , nhưng nếu tôi có một máy chủ ở giữa, tôi có thể lấy mật khẩu phức tạp nhưng vẫn rõ ràng và sử dụng nó nhiều như tôi muốn, nó sẽ không thay đổi. Băm không phải là một viên đạn ma thuật, nó thậm chí không phải là mã hóa, chúng được gọi là băm mật mã, nhưng điều đó không có nghĩa là chúng là mã hóa. Không quan trọng nếu mật khẩu của tôi là passwordvà hoặc một SHA-256 passwordvới một số muối mà khách hàng biết, một người đàn ông ở giữa có thể nắm bắt được nó.

@Jarrod Roberson: tất nhiên bạn có thể sử dụng mật khẩu, nhưng bạn không thể sử dụng lại nó cho một tài khoản khác của tôi, đó là điểm chính. Do đó, nếu một trong những trang web tôi kết nối bị đánh cắp cơ sở mật khẩu của anh ấy và họ đã lưu trữ chúng rõ ràng, thì các tài khoản khác của tôi đều an toàn.
Matthieu M.

@Aaronaught: đó là nơi nó thực sự tỏa sáng. Vì mật khẩu được gửi hoàn toàn có nguồn gốc từ tên miền trang web bạn đăng nhập và mật khẩu chính bạn chọn, bạn có thể đăng nhập từ bất kỳ máy tính (và trình duyệt) nào miễn là bạn có bookmarklet. Đây là lý do tại sao nó có phần thoải mái hơn một chứng chỉ.
Matthieu M.

6
@Jarrod: Đây không phải là biện pháp bảo mật cho trang web , đây là biện pháp bảo mật cho người dùng . Nếu mọi người sử dụng một lược đồ như thế này, việc sử dụng lại mật khẩu sẽ không thành vấn đề. Một lược đồ MITM có thể sử dụng mật khẩu băm của khách hàng để có quyền truy cập vào trang web đó , nhưng chỉ trang web đó. Đó là nơi cải thiện. Thông thường, bạn sẽ có thể có quyền truy cập vào nhiều tài khoản chỉ bằng cách bẻ khóa một mật khẩu, vì mật khẩu đó có khả năng được sử dụng lại; trong trường hợp này, mật khẩu bị bẻ khóa thực tế được đảm bảo chỉ có giá trị cho trang web hoặc cơ sở dữ liệu mà nó được tìm thấy.
Aaronaught

0

Tôi thích câu trả lời của X4u, nhưng theo ý kiến ​​của tôi, một cái gì đó giống như nó nên được tích hợp vào trình duyệt / đặc tả html - vì hiện tại nó chỉ là một nửa câu trả lời.

Đây là một vấn đề tôi gặp phải với tư cách là người dùng - Tôi không biết liệu mật khẩu của mình có bị băm ở đầu kia hay không khi được lưu trữ trong cơ sở dữ liệu. Các dòng giữa tôi và máy chủ có thể được mã hóa nhưng tôi không biết điều gì sẽ xảy ra với mật khẩu của mình khi nó đến đích - nó có thể được lưu trữ dưới dạng văn bản thuần túy. Anh chàng quản trị cơ sở dữ liệu có thể sẽ bán cơ sở dữ liệu và trước khi bạn biết nó, cả thế giới đều biết mật khẩu của bạn.

Hầu hết người dùng sử dụng lại mật khẩu. Những người không có kỹ thuật vì họ không biết gì hơn. Những người kỹ thuật bởi vì một khi bạn nhận được mật khẩu thứ 15 hoặc hầu hết mọi người sẽ không có cơ hội ghi nhớ chúng trừ khi họ viết chúng ra (Điều mà tất cả chúng ta đều biết cũng là một ý tưởng tồi).

Nếu Chrome hoặc IE hoặc bất cứ thứ gì tôi đang sử dụng có thể cho tôi biết rằng hộp mật khẩu sẽ ngay lập tức được phía khách hàng băm bằng cách sử dụng máy chủ tạo ra muối và sử dụng chính xác mật khẩu - tôi sẽ biết rằng với tư cách là người dùng tôi có thể sử dụng lại một mật khẩu với ít rủi ro hơn. Tôi vẫn muốn các kênh được mã hóa cũng như tôi không muốn bất kỳ mái hiên nào bị rơi trong quá trình truyền.

Người dùng cần biết rằng mật khẩu của họ thậm chí không có sẵn để được gửi đến máy chủ - chỉ có hàm băm. Hiện tại ngay cả khi sử dụng giải pháp của X4U, họ không có cách nào biết đây là trường hợp vì bạn không biết công nghệ đó có được sử dụng hay không.


1
nó được tích hợp vào trình duyệt tra cứu xác thực và bạn sẽ thấy các bước qua lại được thực hiện trong http để lấy mật khẩu băm, với thông tin bổ sung và được xác minh trên máy chủ.
gbjbaanb

-1

Tôi nghĩ rằng đó là một phương pháp tốt để sử dụng khi xây dựng một cái gì đó như khung, CMS, phần mềm diễn đàn, v.v., nơi bạn không kiểm soát các máy chủ mà nó có thể được cài đặt. Đó là, CÓ, bạn nên luôn khuyến nghị sử dụng SSL để đăng nhập và hoạt động đăng nhập, nhưng một số trang web sử dụng khung / cm của bạn sẽ không có nó, vì vậy họ vẫn có thể hưởng lợi từ việc này.

Như những người khác đã chỉ ra, lợi ích ở đây KHÔNG phải là một cuộc tấn công MITM không thể cho phép người khác đăng nhập vào trang web cụ thể này như bạn, mà là kẻ tấn công đó sau đó sẽ không thể sử dụng cùng một tên người dùng / mật khẩu đăng nhập vào hàng chục trang web khác mà bạn có thể có tài khoản.

Một lược đồ như vậy nên muối với một loại muối ngẫu nhiên hoặc một số loại muối dành riêng cho trang web và tên người dùng cụ thể để những người lấy được mật khẩu không thể sử dụng nó cho cùng một tên người dùng trên các trang web khác (ngay cả các trang web sử dụng lược đồ băm giống hệt nhau ), cũng không chống lại những người dùng khác của trang web có thể có cùng mật khẩu.

Những người khác đã gợi ý rằng người dùng nên tạo mật khẩu duy nhất cho mỗi trang web họ sử dụng hoặc sử dụng trình quản lý mật khẩu. Trong khi đây là lời khuyên âm thanh trong lý thuyết, tất cả chúng ta đều biết điều này là hoàn toàn dựa vào thế giới thực. Tỷ lệ người dùng thực hiện một trong những điều này là nhỏ và tôi nghi ngờ điều đó sẽ sớm thay đổi.

Vì vậy, một mật khẩu javascript là loại ít nhất mà nhà phát triển khung / cm có thể làm để hạn chế thiệt hại của ai đó chặn mật khẩu trong quá trình (điều này dễ dàng qua mạng wifi hiện nay) nếu cả chủ sở hữu trang web và người dùng cuối đều sơ suất về bảo mật (mà họ có khả năng là).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.