如果没有 https (ssl) 如何安全地传输密码？

Question

如果没有 https (ssl) 如何安全地传输密码？

Answer 1

摘要式身份验证提供一些保护，特别是如果您的随机数生命周期很短，并且易于实现。这使得它适用于某些情况，其中密码是您唯一需要防止窥探的内容。有关详细信息，请参阅 RFC 2617。

但它仍然不如 HTTPS 安全。

Answer 2

安全远程密码协议正是针对这些情况而设计的。有一些 JavaScript 实现应该适合 HTTP 上下文。但请记住，这可以防止有人被动监听，但不能防止有人干预流量，因为他们可能只会向您的用户发送损坏的 JavaScript。

另请记住，即使客户端密码不会被泄露，但它们经过身份验证，它们仍然容易受到中间人攻击，除非您注意保护它们，例如使用 SRP Hermetic

Clipperz 应该是一个适合您目的的良好 JavaScript SRP 库。

Answer 3

绝对推荐使用 SSL，并且有多种廉价（或免费）来源可以获得 SSL 证书。但是，如果您绝对可以，您可以使用 JavaScript 加密库，例如 http://www.jcryption.org/不要使用 SSL。只要记住：

jCryption 目前的状态是 no
SSL 的替代品，因为有
没有身份验证，但主要目标
jCryption 应该是一个非常简单且
快速安装插件，提供
基本安全级别。