¿Tiene sentido cifrar contraseñas en la interfaz web?

Cifrar contraseñas en el front-end no tiene ningún sentido. En lugar de mejorar la seguridad del sistema de contraseñas, causará problemas innecesarios.

(1) El cifrado no resuelve el problema de reproducción. Aunque los datos que envía al servidor son datos cifrados, si el pirata informático los intercepta y los reenvía, aún así se verificarán. Simplemente escuche directamente el llamado texto cifrado y luego use un script para iniciar la solicitud http para iniciar sesión.

http se transmite en texto claro en la red. Todos los datos pueden ser vistos por agentes y puertas de enlace, y pueden rastrearse dentro de la misma LAN. Puede abrir Wireshark e intentar capturar los paquetes de datos en la LAN. . El cifrado no dificulta el ataque porque el atacante no tiene que descifrar la contraseña original y poder iniciar sesión significa que se ha logrado el objetivo, por lo que no aumenta la dificultad.

(2) Dado que la contraseña está cifrada, la clave y el algoritmo utilizados para el cifrado deben almacenarse en el front-end, y un atacante puede obtener el algoritmo y la clave viendo el código fuente. A menos que cree un complemento para el navegador, encapsule el algoritmo y la clave en el complemento y luego cifrelo con texto sin formato ofuscado con marcas de tiempo, incluso si un pirata informático intercepta los datos de la solicitud para el procesamiento de reproducción, fallará rápidamente.