Днес, повечето сайтове все още работят по HTTP протокола, а не HTTPS. Това е по-лошо от гледна точка на сигурността, но това е по-евтино и по-лесно да се поддържа. удостоверяване на сигурността на такива сайтове - проблем, тъй като голямата част от него се прилага проста форма се представя в име / парола към сървъра, който проверява за парола хеш хашиш С, което отговаря на посочените данни за вход. С влизането в този сайт в отворена Wi-Fi мрежа или друго публично място, всеки, който знае как да използвате Google без усилие може да прихване паролата си. Някои отиват малко по-нататък, чрез изпращане на хеш парола към сървъра, но това не е много по-добре, защото с таблици дъга (особено за md5) можете да се опитате да намерите паролата, с различен от нула на успех, и всеки ден се увеличава вероятността за успех.

В тази статия предложи алтернатива, по-усъвършенстван метод за удостоверяване, в които паролата или в чиста форма или под формата на хеш не е осветен, и в същото време, този подход на практика елиминира необходимостта от добавяне на подобен тест за логин формата.

Всичко е описано вече се използва в практиката, така че примерите ще бъдат реални, и като се вземат предвид условията на тяхната употреба.

Authentication ще се проведе на два етапа, с използване на AJAX.

Произволни хеш се генерира на сървъра. PHP например:

Случайни сегментиране се записва на сървъра, и комуникира с вход.

Както можете да видите, хеш парола се използва sha512. public_key - глобална променлива, която съдържа дължината линия от 56 символа и се използва като сол. Тази променлива е на разположение на обществеността, но се дължи на факта, че използвате сравнително сложен алгоритъм, за да се получи хеш sha512 (два пъти) - поколението на дъгата таблици за всеки обект ще бъде доста трудно, скъпо и отнема много време процедура, че има много смисъл.

С хеш вход, ние ще намерим съответната парола към сървъра, на случаен хашиш за генериране на съответния auth_hash и сравни С, което е получено от страна на потребителя. В случай, че започваме на сесията, и актуализира страницата на потребителя. за обработка на грешки изпълнение остава в мотивите си.

Какво тогава в регистрация

Много лесен за генериране на пароли за потребителя, както и изпращане на електронна поща. Всеки уважаващ себе си и потребителското услуга за електронна поща поддържа достъп до имейл чрез шифрован канал. Потребителят може, ако е необходимо, за да промените паролата.

Промяна на парола / възстановяване

Възстановяване на парола в тази верига също се извършва на пощенската кутия.

смяна на паролата може да се прилага, както следва:

• със стари и нови пароли генерира хешове като в примера по-горе: