search

aszx87410 / huli-blog

source code of the blog
Apache License 2.0
2 stars 2 forks source link

網站前端打 API 時把密碼加密,有意義嗎? - Huli #36

Open utterances-bot opened 1 year ago

utterances-bot commented 1 year ago

網站前端打 API 時把密碼加密,有意義嗎? - Huli

https://blog.huli.tw/2023/01/10/security-of-encrypt-or-hash-password-in-client-side/?fbclid=IwAR34Y8JyE9ewclLzFZjzC1HAtYuocjpaDc5Q_t12H_YBAgLTbawI8Bu7dVU

mrshih commented 1 year ago

國內銀行有被規範要求「必須」要在Client端就加密客戶的固定密碼,所以文中的國內銀行才都有做。

rif0909 commented 1 year ago

銀行公會訂的電子銀行安控基準要求網路銀行的密碼必須採用點對點加密而且必須在HSM裡面解密及驗證

hilarycheng commented 1 year ago

假設兩個情況

hilarycheng commented 1 year ago
  1. 如果是針對 MITM的話, 加密是必要的, 因為 MITM 在隨機環鏡去抓取密碼
  2. 但如果目標環鏡, 都直接針對前瑞 JS 的話, 加不加已經沒差, 除非用到 PGP / FIDO 這些工具, 才是加多一點加密功能.