声明:我对这一块非常不熟悉,这里提出的方案只是小弟一个想法而已,希望各方高手帮忙指出问题所在。
难题:
平时web应用,网站,一般都有用户登录这个功能,那么登录的话,肯定涉及到密码。怎么保证用户的密码不会被第三方不法之徒获取到呢?
不法之徒的途径肯定多了,高级点的,直接挂马啊,客户端木马啊。但这里不考虑这么多,就假设网页和客户端都是安全的,那么怎么防止网络中被截获呢?
原始方法:
一般如果是企业内部应用,没什么安全要求,就直接不管了。账号和明文密码发送~~了事~~
安全方法1:
post之前,先把密码用DES加密,到服务器解密。
问题:一旦被截获了key,很可能密码还是被人解密出来~~~
安全方法2:
数据库存的是密码的MD5散列值,每次post前先MD5散列。这样就可以避免被人解密密码了。
问题:好吧,我不解密你密码了。我直接重放攻击,你发什么给服务器,我就发什么到服务器,还不一样可以假冒你登陆。
安全方法3(暂时我想到比较安全的):
1、数据库存的是密码的MD5散列值(防止被人直接通过数据库入手)
2、每次打开登陆页面,随机给用户一个RSA公钥(为了保证效率,可以先生成几百个KEY对)
3、用户post密码前,用公钥加密。(即使被截获了公钥,密文也无法破解,数学证明的~~~嘿嘿。同时,即使不法者重放攻击,发送同样的密文到服务器,因为每次的公钥不一样,所以还是无法登陆)
4、由于只有几百个KEY,为了防止不法者不断的尝试,也许会碰巧遇上同一个公钥。那么还需要加入5次登陆失败就封账号30分钟的措施~~~(嘿,看你怎么试。当然,如果可以保证每次key都不一样,那么这里也可以跳过了)
5、服务器拿到公钥加密后的密码密文,用私钥解密,再散列,匹配数据库的密码MD5值~~完成·~
一些可用资源:
http://www.jcryption.org/
http://www.michalfranc.com/articles/jcryption.html
搞掂~~
参考一下HTTPS的原理:(http://zhenggm.iteye.com/blog/558785)
HTTPS通信过程的时序图如下: 
图3 HTTPS通信时序图
原文链接:https://www.cnblogs.com/kenkofox/archive/2011/08/25/2152884.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/17175
