摘要认证的概念 - 它真的有效吗？

Question

7

据我了解，摘要认证（这是一种单向操作）将密码哈希并传输哈希数据到服务器。然后服务器将使用存储的密码进行哈希，并将其与接收到的哈希密码进行比较。应该能够防止中间人攻击。

我不理解的是，如果我是中间人黑客，我不需要原始密码。那么只需使用哈希密码，因为这是服务器将与之相比较的密码。

那么这个摘要认证机制有什么用处呢？从这个概述来看似乎没有发挥作用。

- yapkm01

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Syon · Accepted Answer

摘要认证并不完全按照您描述的方式工作。

摘要认证是一种挑战-响应协议。要开始该过程，客户端请求受保护的URL，服务器会响应领域和nonce。客户端使用领域和nonce计算：

md5(md5(username:realm:password):nonce:md5(httpMethod:uri))

随机数使每个身份验证产生不同的哈希值，从而防止重放攻击。此外，它确实对监听您的通信的攻击者提供了一些（弱）保护，因为明文密码不会通过网络传输，尽管这不能阻止攻击者在获得哈希值后破解它。