Конференция VBStreets

[Source]

Как можно безопасно передать пароль при регистрации по сети с условием, что некий хакер может перехватить любой пакет и алгоритм шифрования пароля, формат пакета ему известены? Т.е. сервер должен получить не хеш пароля, а пароль целиком.

[keks-n]

Никак. Или использовать автосгенерированный пароль, выслав его на e-mail.

[alibek]

Почему не устраивает хеш пароля?
Если у злоумышленника нет доступа ни к компу, ни к серверу (а только к каналу данных между ними), то можно шифровать данные первичным ключом, затем генерировать сессионный ключ и шифровать им.

[Antonariy]

Воспользоваться RSA. Сгенерить пару ключей, один из них перенести на сервер своими руками на флешке и запрятать так, чтобы наружу он не просочился. Пароль пользователя зашифровать вторым ключом и отправить серверу, который его соответственно расшифрует первым.

А вообще, каким макаром хакер расшифрует то, что ты передаешь, даже если он знает алгоритм? Он же не знает ключа. Или ты ключ передаешь вместе с шифровкой?

[alibek]

Antonariy, может там шифруется XOR-ом
Но все-равно лучше для постоянного обмена данными использовать сессионный ключ, а не основной.

[tyomitch]

...а ещё есть SSL.