问在服务器上哈希密码有安全优势吗？

EN

在将密码发送到服务器之前，没有额外的安全性，因为现在这个散列将成为密码。更重要的是通过加密通道(SSL/TLS)发送密码，以防止密码以明文形式发送，并被网络上的其他人读取。

要存储密码，您应该散列+加盐，再次防止密码被存储在明文中。如果哈希是在客户端完成的，并且您存储了这个哈希，它仍然像以明文形式存储密码一样，因为这个散列现在是密码。

因此，在存储密码之前，请始终在服务器上散列(+salt)密码。

这取决于攻击的类型。

如果攻击是中间人类型的，那么如果在到达服务器之前再次对其进行散列，那就没有意义了，因为第一个哈希已经在其途中泄漏了。

如果攻击发生在服务器端，那么最好保留password => hash => network => hash => database，因为这会使野蛮的过程更加耗时。

如果攻击发生在客户端本身(例如，客户端机器上安装了一些键盘记录器)，那么所有这些进程都将是浪费。

这些天，只有哈希密码是不可靠的。您应该查看salting的过程，以使其更加可靠和安全。

在存储密码之前，您可以使用氪石、bcrypt或PBKDF2对密码进行散列和腌制。密码哈希是伤害遏制姿态。我认为两次或更多次重述是没有用的。您可以使用彩虹台攻击安全散列，在存储哈希之前将盐应用到哈希可以防止这种攻击。如果您感兴趣，我建议您阅读这篇文章(为什么盐渍散列对于密码存储更安全？)以获得更详细的信息。我读过一些使用这种方法的系统，他们的密码在20年中仍然是安全的，即使用户在一段时间内保持相同的密码。