Encryption 登录时对密码进行加密 当我们登录到像Gmail这样的网站时，我们给出密码，现在Gmail是一个HTTPS网站，因此在传输过程中，密码不能被中间人攻击，如果有SSL MITM，那么密码可以在明文中看到。

是否存在在登录期间加密密码的机制，即即使在SSL MITM之后，攻击者也只能获得加密密码

这将是使用javascripts的客户端功能，对吗

但客户机也可以选择阻止或修改脚本

---

或者还有其他机制吗？

您可以在浏览器/服务器上对用户名和密码进行哈希运算，然后在业务层比较哈希运算。这将防止MITM攻击，并允许BO验证凭据。

您可以使用Javascript，但您（1）必须将Javascript安全地提供给用户，（2）交换密钥以进行加密

虽然保护密码有一定的价值，但如果SSL会话被破坏，MITM可以劫持会话和所有数据，或者提示用户更改密码并收集密码

您可以使用OpenId，但是您只能将身份验证问题转移到OpenId服务器。您仍然需要一种方法将用户的秘密传送到服务器

---

因此，一般来说，通过SSL使用明文密码来建立一个新的、经过身份验证的会话cookie是一种可行的方法。任何其他问题都可以归结为您的原始共享机密问题，或者web浏览器除了SSL之外没有任何东西可以使用。

至于密码传输，它只是SSL。我应该补充一点，银行使用三步登录过程，您可以：1）提交登录名。银行回答了3个安全问题。2） 你回答安全问题。银行会用用户在设置帐户时选择的密码字段和图片进行响应。3） 如果图片是预期的预选图片，则用户提交密码。有些银行会“注册”一台计算机，在你完成一次后跳过第二步。但是，所有数据传输都受SSL保护。希望有帮助！