首頁猿問客戶端密碼加密

客戶端密碼加密

JavaScript

大話西游666 2019-08-30 17:31:57

我必須保護我的網站用戶的密碼。我所做的是在服務器端使用MD5 加密哈希。但問題是密碼保留為純文本，直到它到達服務器，這意味著可以使用流量監控捕獲密碼。所以我想要的是使用客戶端密碼加密/散列機制并發送加密/散列密碼。任何人都可以告訴你這樣做的方法是什么？

查看完整描述

3 回答

忽然笑

TA貢獻1806條經驗獲得超5個贊

這不安全，解釋原因很簡單：

如果您在客戶端散列密碼并使用該令牌而不是密碼，則攻擊者將不太可能找到密碼。

但是，攻擊者并不需要找出密碼是什么，因為您的服務器不期待任何密碼更多-這是預期的令牌。并且攻擊者確實知道令牌，因為它是通過未加密的HTTP發送的！

現在，有可能將某種挑戰/響應形式的加密混合在一起，這意味著相同的密碼將在每個請求中產生不同的令牌。但是，這將要求密碼以可解密的格式存儲在服務器上，這是不理想的，但可能是一個合適的折衷方案。

最后，你真的想要用戶在登錄你的網站之前打開javascript嗎？

在任何情況下，SSL都不再昂貴或者特別難以設置解決方案

反對回復 2019-08-30

九州編程

TA貢獻1785條經驗獲得超4個贊

我會選擇這個簡單的解決方案。

總結一下：

沒有人可以重復以指定用戶身份登錄的請求。#S每次都向哈希添加一個變量組件（它是基礎）。#C增加額外的噪音。

反對回復 2019-08-30

關注

舉報

0/150

提交

取消