神刀安全网

如何保证用户密码安全


在软件开发中,用户模块应该说是系统最核心的模块了,如何保证密码的安全,就成了重中之重。下面我以web项目为例:

密码泄露

我们思考一下,用户的密码如何会泄露?
应该最常见是下面这几种情况了。

  1. 用户自己告诉别人
  2. 输入在登录账号的时候被人看到
  3. 在网络传输的时候被黑客拦截到
  4. 保存用户密码的数据库泄露了

保护措施

针对上述常见的密码泄露情况,我们在设计和开发项目的时候应该采取哪些措施才能避免呢?

下面说一些我的见解:

针对第一点:

其实我们能做的有限的,只能在项目的页面中以文字的方式提示一下,说什么请保护好自己的密码之类这样的话。

针对第二点:

可以采用下面的措施:

  1. 密码框采用password类型的input框
  2. 以post提交请求

我相信很多人都能做到上面的两点。

针对第三点

全站使用https协议,或者在网站有敏感信息传输的时候采用https协议,像我们访问一些网站的时候,浏览普通信息的时候是http协议,但是当访问到一些敏感信息的时候就使用了https协议,像用户登录的时候。

btw : https的协议还能防止DNS劫持

如果由于其他原因不能使用https这些协议,那最低限度也要把密码进行 “不可逆” 算法的加密再进行网络传输。可以使用 CryptoJS 加密库

这里有人会有些疑问:如果用 “不可逆” 算法进行加密,那到时候服务端怎么判断密码的正确性?这里先卖个关子。

针对第四点

这也是我重点讲的,不要以为数据库不会泄露,你可以百度一下:数据库泄露。

我假设数据库可能发生泄露,应该采取那些措施才能让用户的损失降到最低呢?

  1. 存储用户的个人信息使用“可逆”算法进行加密存储,但是一般项目不会这样做,因为必要性不是很大,加上会很麻烦。

  2. 不以明文存储密码,一般都采取“不可逆”的算法加密。这个应该是所有项目都有考虑的。

上面我买了一个关子,说服务端怎么判断密码的正确性?现在应该知道回事了吧。前端和服务端都使用相同的“不可逆”的算法加密,直接判断就可以了。

一旦用户密码的明文泄露了,泄露的不仅仅是我们项目的密码。我相信很多人都不会为每一个网站的账号都信息设置一个密码吧,应该很多网站都是使用同一个密码。举个例子:假设你在A网站注册了账号(往往都是邮箱或者手机号)和密码,A网站是使用明文存储你的密码,当A网站的数据库泄露了,那黑客就知道了你的密码,他使用你的邮箱或者手机号和密码去尝试登陆iCloud,如果不幸你的iCloud账号和密码是和A网站的账号和密码相同,更不幸上面有你的艳*照,你就红了。这是就是所谓的“撞库”,据说“好莱坞艳照门”事件也是这个原因。当然很多的大站,像淘宝,腾讯这些网站都会有其它的一些安全验证措施,如异地登录就要使用手机验证码等等措施,不过我们还是要好好保护我们的密码。

常见的“不可逆”的算法有:MD5和SHA-1(在线的MD5
在线的SHA-1),当然你也可以自己实现。

单单把密码进行“不可逆”加密也是不够的,因为常见的密码加密后的值是已知的,像md5(123456)=e10adc3949ba59abbe56e057f20f883e,这样就很容易破解密码了。所以会有“盐”这个概念,给密码加上盐就是加上了干扰,至于盐加在密码的那个位置是可以自定义的,例如md5(123456salt)=207acd61a3c1bd506d7e9a4535359f8a,这样就很难破解了。更有甚者进行两次md5,如md5(md5(123456)salt),这样就更难破解了。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 如何保证用户密码安全

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址