私が知っている会社は、すべてのWebアプリケーション製品でパスワードセキュリティポリシーを強化するために話し合っています。
現在、HTTPを介してPOSTフォームでユーザー名/パスワード認証を送信しているため、プレーンテキストで送信されています。
この問題の最も簡単な解決策は、すべてのアプリケーション間でログオンするためにHTTPSを要求することです。
さて、代わりに、パスワードのある種の独自のクライアント側暗号化(パスワード+ソルトなど)を実行することについて、いくつかの内部的な議論があります。
受け入れられているHTTPのみのソリューションはありますか?
意見は...まあ、誰もが意見を持っているので、私はあなたの推薦をサポートすることができる信頼できるセキュリティ文献を探しています。ただグーグルしてブログ投稿に送ってはいけません...私はすでにそれ以上のことをしました。
OWASPの推奨事項を見つけました: http ://www.owasp.org/index.php/Top_10_2007-A7#Protection
Microsoftと同様に:http: //msdn.microsoft.com/en-us/library/aa302420.aspx
編集: SSLの使用を推奨するだけでは不十分です。ある種のサポートドキュメントが必要です。私たち自身のクライアント側の暗号化をローリングするのは悪いことだと私は知っています。私はそれを同僚や経営者に確実に売ることができる必要があります。
また、HTTPダイジェストについても言及されています。良さそうですが、ダイジェストはHTTP認証専用であり、POST経由で送信されるデータ用ではありません。