别再纠结前端要不要提交明文口令，浏览器已经内置非常好的方案

这个十年前就有结论的问题每隔一段时间都会有人讨论。结论是不管什么环境，前端提交 hash 后的口令总是好的，防的不是中途的嗅探者，而是脱库后的破解者。前端 hash 越耗时，脱库后跑字典越慢。

至于前端 hash 也不用自己捣鼓 js/wasm 这些，主流浏览器早已内置 PBKDF2 算法，较新的 CPU 都有相应的硬件加速，比自己实现可以快很多倍。

演示：

const username = new TextEncoder().encode('alice')
const password = new TextEncoder().encode('hello1234')

// 重复 1000 万次 SHA256
const pbkdfOpts = {
  name: 'PBKDF2',
  hash: 'SHA-256',
  salt: username,
  iterations: 1e7,
}

async function pbkdf2(pwd, opts, bits) {
  const baseKey = await crypto.subtle.importKey('raw', pwd, 'PBKDF2', false, ['deriveBits'])
  const buf = await crypto.subtle.deriveBits(opts, baseKey, bits)
  return new Uint8Array(buf)
}

const dk = await pbkdf2(password, pbkdfOpts, 256)

// 注册/登录提交 dk 即可，无需提交 password
console.log(dk)

kdwnil

30 天前

道理我都懂，但是

> Crypto.subtle
> 安全上下文: 此项功能仅在一些支持的浏览器的安全上下文（ HTTPS ）中可用。

而更有必要倒腾前端加密的 http 页面被完全排除在外，另外一般脱库得到的是加密后的 hash ，也没法拿去撞库吧

Puteulanus

30 天前

后端用慢 hash 来增加密文泄漏时候的暴力破解成本，但是用户量大了的话后端自己很难扛住这么大量的慢 hash 计算量，所以把计算过程分到前端去做，本质上不是为了安全（虽然后端上慢 hash 确实是为了安全），而是一种分布式计算的方案

lovelylain

30 天前

我觉得还是不 hash 更好，用非对称加密传输。
10 年前前端 hash 用的是 md5 ，现在认为 md5 不安全，你只能把 md5 当原始密码再做一次新 hash ，要是未来新 hash 算法也被认为不安全，你是不是要再套一层？
前端传可解密的密文，更能适应技术升级，未来你 db 用的 hash 算法被认为不安全了，也可以在用户重新登录时更换新的 hash 算法。而前端传 hash ，未来前端技术升级，你要把 hash 当密码，要么同时传可解密密码和 hash ，反正原 hash 是甩不掉了。

Chad0000

30 天前

@chingyat #18
就算没有多个版本，你现在需要升级算法。但：你有网页版和 APP 版，前者容易，后者你都不一定能限定用户必须使用某个版本的 APP 。你直接停掉之前所有版本的 APP 强迫用户升级？还是你做兼容（意味着保存多个密码版本）？

iminto

30 天前

看得我一头雾水，我是不是穿越了？

16 年前，人人网最红火的年代，就看过有人研究人人网的爬虫，它的登录就是用的 RSA 算法做加密的。现在都 2024 了，还有人讨论这类的问题吗？

至于有一层楼 @majula 提到的 PAKE 算法，怎么看着像是币圈造的轮子呢？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1044263

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.