Login-protokol til ASP sider?
Jeg er ved at designe et websted som skal indeholder beskyttede sider. Beskyttelsen består af et login. Min protokol ser, indtil videre, ud som følger (for ikke at gemme adgangskoder i klartekst på serveren, gemmer jeg H(Password + Salt)):1: S -> C: Salt, Nonce
2: C -> S: H(H(Password + Salt) + Nonce)
3: Serveren beregner H(<gemt værdi> + Nonce) og sammenligner
Jeg kan ikke umiddelbart se at der skulle være et problem i at sende Salt med, men vil gerne høre kommentarer, forslag osv.
Jeg har heller ikke endnu overvejet hvordan brugeren kan opdatere/skifte sin adgangskode, så kommentare hertil vil også være til stor hjælp.