パスワードを保存するためのユーザー登録アプリケーションに対するまともなワークフローは何でしょうか？

Question

私はアプリケーション（web \ mobile）を開発しています。ユーザーはアプリケーション上のフォームを使用してアカウントを登録する必要があります（のユーザー名とパスワード）。

これらのデータはデータベーステーブルに保存する必要がありますが、これらのデータはインターネット上を移動するため、パスワードが明確でないことをお勧めしません。

クライアントはいくつかの方法でパスワードを暗号化しなければならないと思います。この暗号化されたパスワードはDBに保存する必要があります。

このタスクのためのまともなワークフローは何でしょうか？

Answer 1

これを行う一般的な方法は、パスワードをHTTPS接続を介してクリアテキストとして送信することです。 HTTPSは、パスワードだけでなく、インターネット経由で機密情報が送信される場合に必要です。

サーバー上で、ハッシュを計算します。これには多くのアルゴリズムがあり、他のアルゴリズムよりも安全です。ハッシュ関数は一方向に対してのみ機能します。ハッシュからパスワードを派生させることはできません。そのハッシュをパスワードの代わりにデータベースに格納します。ユーザーがログインすると、そのパスワードからハッシュを計算し、データベースに保存されているハッシュと比較します。