前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >网站安全登录 web应用安全登录 密码 防截获

网站安全登录 web应用安全登录 密码 防截获

作者头像
用户1258909
发布2018-07-03 12:10:58
1.9K0
发布2018-07-03 12:10:58
举报
文章被收录于专栏:拂晓风起

声明:我对这一块非常不熟悉,这里提出的方案只是小弟一个想法而已,希望各方高手帮忙指出问题所在。

难题:

平时web应用,网站,一般都有用户登录这个功能,那么登录的话,肯定涉及到密码。怎么保证用户的密码不会被第三方不法之徒获取到呢?

不法之徒的途径肯定多了,高级点的,直接挂马啊,客户端木马啊。但这里不考虑这么多,就假设网页和客户端都是安全的,那么怎么防止网络中被截获呢?

原始方法:

一般如果是企业内部应用,没什么安全要求,就直接不管了。账号和明文密码发送~~了事~~

安全方法1:

post之前,先把密码用DES加密,到服务器解密。

问题:一旦被截获了key,很可能密码还是被人解密出来~~~

安全方法2:

数据库存的是密码的MD5散列值,每次post前先MD5散列。这样就可以避免被人解密密码了。

问题:好吧,我不解密你密码了。我直接重放攻击,你发什么给服务器,我就发什么到服务器,还不一样可以假冒你登陆。

安全方法3(暂时我想到比较安全的):

1、数据库存的是密码的MD5散列值(防止被人直接通过数据库入手)

2、每次打开登陆页面,随机给用户一个RSA公钥(为了保证效率,可以先生成几百个KEY对)

3、用户post密码前,用公钥加密。(即使被截获了公钥,密文也无法破解,数学证明的~~~嘿嘿。同时,即使不法者重放攻击,发送同样的密文到服务器,因为每次的公钥不一样,所以还是无法登陆)

4、由于只有几百个KEY,为了防止不法者不断的尝试,也许会碰巧遇上同一个公钥。那么还需要加入5次登陆失败就封账号30分钟的措施~~~(嘿,看你怎么试。当然,如果可以保证每次key都不一样,那么这里也可以跳过了)

5、服务器拿到公钥加密后的密码密文,用私钥解密,再散列,匹配数据库的密码MD5值~~完成·~

一些可用资源:

http://www.jcryption.org/

http://www.michalfranc.com/articles/jcryption.html

搞掂~~

参考一下HTTPS的原理:(http://zhenggm.iteye.com/blog/558785)

HTTPS通信过程的时序图如下:

图3 HTTPS通信时序图

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2011-08-25 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档