浏览器向 Web 服务器提交用户密码最可行的方法-原始密码(Raw password )

“原始密码(Raw password)”和“散列密码(hashed password)”是可行的解决方案。但是，HTTPS 下的原始密码更常用，例如 Google 和 Facebook。以下原因解释了为什麽原始密码更可行，因为信息安全应该与业务需求保持一致：
. 在浏览器中，散列密码是通过自定义 JavaScript 模块计算的；如果客户关闭 JavaScript 功能或防病毒软件干扰操作，则无法正常工作。这将对市场份额、客户满意度和客户服务成本产生负面影响。
. 如果攻击者可以破坏 HTTPS 连接，发送原始密码或散列密码没有任何区别，因为他可以窃取访问令牌并劫持会话。剩余风险几乎相同。
. 此外，发送散列密码意味着用户的密码必须被散列或加盐，并且变得不可逆转。但是，有些网站可能需要支持“找回密码”功能，对密码进行加密，客户可以查询自己忘记的密码。

盐密码(Salted Password)
加盐密码是指根据原始密码和盐的串联计算得出的哈希值，盐是“作为辅助输入合并到单向或加密函数中的随机变量，用於派生密码验证数据”。(ISO/IEC 11770-4:2017) 加盐通常在服务器端生成并且对客户端保密，因此客户端不可能提交加盐密码。

电子签名(Digital Signature)
数字签名在技术上是可行的，但对於电子商务网站要求客户安装数字证书进行身份验证来说实际上是不可行的。
参考
. 为什麽客户端对密码的散列如此不常见？
. 为什麽几乎没有网页在提交之前在客户端散列密码（并在服务器上再次散列它们），以“防止”密码重用？
. 你（可能）做错了登录系统

资料来源： Wentz Wu QOTD-202104018
My Blog: https://choson.lifenet.com.tw/