Authentication SSL/TLS上的普通身份验证_Authentication

Authentication SSL/TLS上的普通身份验证

authentication

Authentication SSL/TLS上的普通身份验证,authentication,Authentication,如果我通过SSL或TLS连接到邮件服务器，但使用普通身份验证，安全吗？由于SSL/TLS连接已经加密，以普通文本形式发送密码不会造成任何影响。你也可以加密密码，但你只是双重加密而已。在大多数情况下，我认为这是多余的。我能想到的一种情况是，如果您选择使用证书而不是密码进行身份验证，那么您将使用非纯SSL/TLS。否则，我就不说了。如果您确信在没有SSL的情况下永远不会使用应用程序，那么Ryan是绝对正确的。SSL位于表示层，无论何时建立套接字连接，SSL握手都是首先发生的事情，包括主机验证、会话

如果我通过SSL或TLS连接到邮件服务器，但使用普通身份验证，安全吗？

由于SSL/TLS连接已经加密，以普通文本形式发送密码不会造成任何影响。你也可以加密密码，但你只是双重加密而已。在大多数情况下，我认为这是多余的。

我能想到的一种情况是，如果您选择使用证书而不是密码进行身份验证，那么您将使用非纯SSL/TLS。否则，我就不说了。

如果您确信在没有SSL的情况下永远不会使用应用程序，那么Ryan是绝对正确的。SSL位于表示层，无论何时建立套接字连接，SSL握手都是首先发生的事情，包括主机验证、会话密钥交换和创建安全传输层。一旦建立了这个安全通道，并且使用会话密钥对交换的数据进行加密，应用层的通信就会发生，因此通信无论如何都是安全的

但是，如果您的应用程序具有使用/不使用SSL的选项，那么您应该单独加密密码。在SSL上工作时，这是多余的，但在其他情况下是必要的。

应该有人将此问题迁移到服务器故障，我认为…标记为转移到超级用户。