用户注册登录系统加密方案分析与实践

VIP文章 已于 2022-10-10 11:21:46 修改
阅读量5.6k 收藏 37
点赞数 13
分类专栏: 密码与安全 文章标签: 登录注册 加密解密 彩虹表 https 加盐
于 2019-10-26 11:02:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Saintyyu/article/details/102754194
版权

序言

对于一个网站而言,用户注册登录系统的重要性不言而喻,而该系统的安全性则可谓是重中之重。设计良好的注册登录系统可以保证即使在用户客户端被监听、数据网络传输被拦截、服务端数据被泄露的情况下,也能最大程度地保障用户的密码安全,从而保障用户的资金财产安全。本文结合工程实践,对用户注册登录系统可能面临的攻击和风险点逐一进行分析,并给出对应的应对措施,最终得到一套切实可行的用户注册登录设计方案。

五种常见的用户密码泄露方式

黑客可以通过监听用户的客户端(app或pc浏览器)、拦截用户网络请求、非法入侵服务端数据库、撞库攻击和钓鱼攻击等五种方式窃取用户密码。其中监听客户端包含如下手段(详见黑客破解密码的几种方式):

1、通过木马对用户使用的设备键盘进行监控,通过分析用户的击键信息即可破解用户密码;

2、对于使用鼠标和图片录入密码的方式,黑客可以通过控制木马程序对用户的屏幕进行录屏监控,从而获取用户密码。

拦截用户网络请求可以细分为如下手段:

1、客户端监听用户请求,抓取数据包,以获取用户明文密码(针对https,详见https真的安全吗);

2、网络传输链路上拦截用户请求,获取用户密码(仅针对http的明文密码传输);

3、网络传输链路上拦截用户请求,执行网页替换或部分代码替换,从而骗取用户敏感信息。

非法入侵服务端数据库是指黑客利用服务器的漏洞,非法访问服务端的数据库并窃取用户账号密码等信息。

撞库攻击则是利用很多用户在不同网站使用相同的帐号密码,即黑客可以通过获取用户在A网站的账户密码从而尝试登录B网站。也就是说,即使你自身的网站对用户的密码做了各种各样的防护手段,也无法避免该用户在其他网站的密码被黑客窃取,从而导致该用户在你网站上的密码也被窃取(对于这个问题,后面会给出应对策略)。

钓鱼攻击是指黑客利用欺骗性的电子邮件和伪造的网站登录站点来诱骗用户输入用户名、密码等敏感信息,从而窃取用户密码。其原理和前面提到的拦截用户请求,执行网页替换的方式非常相似。

密码破解利器——彩虹表

本人的另一篇博客深入浅出彩虹表原理介绍了密码破解利器——彩虹表。为了更好地理解本文接下来介绍的内容,强烈建议先阅读该博客中的内容。

参考博客中的方案分析

参考博客App登录模块密码加密方案中给出了一种设计方案:

图中的rule1和rule2方法实际上是对应的是MD5、SHA128、SHA256、SHA512、RipeMD、WHIRLPOOL等不可逆的哈希(hash)算法(关于哈希算法不可逆的原理介绍,详见参考博客为什么说MD5是不可逆哈希算法)。

上述方案存在的致命问题是无法应对前面介绍的“非法入侵服务端数据库”这种攻击(由参考博客2018上半年国内外互联网十大数据库泄露事件可知,非法入侵数据库是黑客批量获取用户账号密码的重要手段之一)。由图中所示,用户注册时,在客户端对明文pass加密得到passStr并保存在数据库中,当黑客非法入侵到服务端数据库并获

最低0.47元/天 解锁文章
Saintyyu
关注
  • 13
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Virbox 开发者工具盒-软件加密工具
08-09
您可以通过 Virbox 开发者工具盒实现: dll、exe的加密保护 防止软件被反向工程、反向汇编、反向编译 软件的授权控制:限时、限次、限功能,限制设备绑定等 资源文件的加密:PDF、PPT、视频等,防止复制拷贝 优势 Virbox 加密方案配合使用深思新一代加密锁:精锐 5 加密锁。精锐 5 加密锁是目前加密锁市场上能抵抗住黑客疯狂破译的一款产品。深思上一代产品精锐 4 加密锁目前仍是加密市场上一款优秀的加密产品,精锐 5 加密锁全新升级,加密技术及硬件比精锐4更胜一筹。 优势1:碎片代码保护 代码移植在业界只被简单使用,只有开发商投入巨大的精力才能取得一定效果,所以一直停留在概念上。近几年,包括深思在内的加密锁厂商纷纷提出“自动代码移植”的概念并有推出相关的产品,但是在实践中因为同样又限于硬件性能,能抽取的代码受到极大的限制,通常是只能“移”数条指令,所以安全上的提升有限。而且此方案严格受加密锁硬件规格的限制,可扩展性极低,加密后的软件只能彻底依赖加密锁,无法实现业务变化(比如在线试用等)。 深思的“碎片代码执行”从根本上解决上述问题,利用成熟的代码提取技术,从软件中抽取大量代码,经过加密混淆后在安全环境中执行,融合Vibrox加密引擎、虚拟化和驱动技术,让软件执行过程更安全。 碎片代码执行可以简单的理解为将软件功能拆散,放在安全环境执行,让破解者无从下手,是软件保护理念的一次重大突破。 优势2:快速加密 - Virbox Protector 加壳工具 Virbox protector加壳工具是深思自主研发的一套高强度自动保护加密工具,创新性的引入了预分析和自动优化引擎, 有效的解决了虚拟化保护代码时的安全性和性能平衡问题。 集自动代码移植、混淆、外壳加密、数据加密于一身,无需编程就能达到极高的保护强度。 优势3:动态防御-反黑引擎 内置R0级核心态反黑引擎,基于黑客行为特征 的(反黑数据库)反制手段。精准打击调试、注入、内存修改等黑客行为,由被动挨打到主动防护。驱动级别反调试,秒杀常见调试器(IDA Pro/WinDbg/OllyDbg/X64Dbg)。 优势4:定制 SDK 定制版的 SDK 具有独立的开发者 PIN、密钥及证书体系,每个开发者的 SDK 均不同,黑客不会有通用的破解手段。 优势5:便捷的远程升级 远程升级可通过 d2c 包进行升级,无需更改软件代码。 优势5:互联网化体验 可使用云许可或者软许可进行控制,无需加密锁模式。一次加密,多种许可形式完美兼容,假如您的用户不希望使用硬件,您可以在加密方案不变更的情况下,迅速切换至云锁或者软锁。 优势6:强悍的硬件性能 精锐 5 拥有精锐系列迄今运行速度最快的芯片,性能格外强劲。采用了英飞凌提供的通过了 CC EAL5+ 认证的 32 位 ARM 芯片,主频高达 24Mhz,执行速度可达 50DMIPS,综合性能相比精锐 IV 提升了 3000 倍,可以执行更多复杂的任务。首次提供了高达 512K 的存储空间,最高可存储 6000 条许可信息。 精锐5采用了控制锁加用户锁模式,控制锁由开发商使用,在对软件加密及给用户锁内发许可时使用,只需要一把就可以。用户锁配套软件开发者的软件发给软件使用者。首次购买需要买精锐5的开发套件进行测试。 应用行业 目前已有超过10000家软件开发商注册使用Virbox 对软件进行加密,几乎遍布全部行业。例如:建筑软件、教育软件及资源、游戏软件、设备软件、财务软件、视觉控制、医疗软件、测绘软件、金融软件、安防软件、VR、工控软件、绘图软件等皆可使用Virbox 加密工具进行保护。 支持的开发语言及二进制文件 C C++ VB6.0 Delphi7 DeliphXE-XE10 BCB6.0 C# .Net Java ARX(AutoCAD) Unity3D UE4 所有格式的资源文件 Revit(插件) 使用方法 安装后,注册Virbox LM帐号(可点击工具盒注册帐号按钮),登录开发者工具盒后,下载SDK即可使用。
用户注册时,密码加密存储方式
weixin_32196893的博客
08-04 750
方式1:存储密码的MD5 String s = DigestUtils.md5DigestAsHex("123456".getBytes()); 缺点:同一个密码,算出来的 md5 值是一样的,别人拿到 md5 后,通过比对彩虹表,可能拿到真实的密码。 方式2:存储密码加盐后的MD5,同时也要存储盐 String s = Md5Crypt.md5Crypt("123456".getBytes(), "$1$aabbcc"); 缺点:需要存储密码的md5 和 盐值。数据库需要额外多维护一个盐值字段。 优
精通并发与netty 无加密视频
04-13
第1讲:学习的要义 第2讲:Netty宏观理解 第3讲:Netty课程大纲深度解读 第4讲:项目环境搭建与Gradle配置 第5讲:Netty执行流程分析与重要组件介绍 第6讲:Netty回调与Channel执行流程分析 第7讲:Netty的Socket编程详解 第8讲:Netty多客户端连接与通信 第9讲:Netty读写检测机制与长连接要素 第10讲:Netty对WebSocket的支援 第11讲:Netty实现服务器端与客户端的长连接通信 第12讲:Google Protobuf详解 第13讲:定义Protobuf文件及消息详解 第14讲:Protobuf完整实例详解 第15讲:Protobuf集成Netty与多协议消息传递 第16讲:Protobuf多协议消息支援与工程最佳实践 第17讲:Protobuf使用最佳实践与Apache Thrift介绍 第18讲:Apache Thrift应用详解与实例剖析 第19讲:Apache Thrift原理与架构解析 第20讲:通过Apache Thrift实现Java与Python的RPC调用 第21讲:gRPC深入详解 第22讲:gRPC实践 第23讲:Gradle Wrapper在Gradle项目构建中的最佳实践 第24讲:gRPC整合Gradle与代码生成 第25讲:gRPC通信示例与JVM回调钩子 第26讲:gRPC服务器流式调用实现 第27讲:gRPC双向流式数据通信详解 第28讲:gRPC与Gradle流畅整合及问题解决的完整过程与思考 第29讲:Gradle插件问题解决方案与Nodejs环境搭建 第30讲:通过gRPC实现Java与Nodejs异构平台的RPC调用 第31讲:gRPC在Nodejs领域中的静态代码生成及与Java之间的RPC调用 第32讲:IO体系架构系统回顾与装饰模式的具体应用 第33讲:Java NIO深入详解与体系分析 第34讲:Buffer中各重要状态属性的含义与关系图解 第35讲:Java NIO核心类源码解读与分析 第36讲:文件通道用法详解 第37讲:Buffer深入详解 第38讲:NIO堆外内存与零拷贝深入讲解 第39讲:NIO中Scattering与Gathering深度解析 第40讲:Selector源码深入分析 第41讲:NIO网络访问模式分析 第42讲:NIO网络编程实例剖析 第43讲:NIO网络编程深度解析 第44讲:NIO网络客户端编写详解 第45讲:深入探索Java字符集编解码 第46讲:字符集编解码全方位解析 第47讲:Netty服务器与客户端编码模式回顾及源码分析准备 第48讲:Netty与NIO系统总结及NIO与Netty之间的关联关系分析 第49讲:零拷贝深入剖析及用户空间与内核空间切换方式 第50讲:零拷贝实例深度剖析 第51讲:NIO零拷贝彻底分析与Gather操作在零拷贝中的作用详解 第52讲:NioEventLoopGroup源码分析与线程数设定 第53讲:Netty对Executor的实现机制源码分析 第54讲:Netty服务端初始化过程与反射在其中的应用分析 第55讲:Netty提供的Future与ChannelFuture优势分析与源码讲解 第56讲:Netty服务器地址绑定底层源码分析 第57讲:Reactor模式透彻理解及其在Netty中的应用 第58讲:Reactor模式与Netty之间的关系详解 第59讲:Acceptor与Dispatcher角色分析 第60讲:Netty的自适应缓冲区分配策略与堆外内存创建方式 第61讲:Reactor模式5大角色彻底分析 第62讲:Reactor模式组件调用关系全景分析 第63讲:Reactor模式与Netty组件对比及Acceptor组件的作用分析 第64讲:Channel与ChannelPipeline关联关系及模式运用 第65讲:ChannelPipeline创建时机与高级拦截过滤器模式的运用 第66讲:Netty常量池实现及ChannelOption与Attribute作用分析 第67讲:Channel与ChannelHandler及ChannelHandlerContext之间的关系分析 第68讲:Netty核心四大组件关系与构建方式深度解读 第69讲:Netty初始化流程总结及Channel与ChannelHandlerContext作用域分析 第70讲:Channel注册流程深度解读 第71讲:Channel选择器工厂与轮询算法及注册底层实现 第72讲:Netty线程模型深度解读与架构设计原则 第73讲:Netty底层架构系统总结与应用实践 第74讲:Netty对于异步读写操作的架构思想与观察者模式的重要应用 第75讲:适配器模式与模板方法模式在入站处理器中的应用 第76讲:Netty项目开发过程中常见且重要事项分析 第77讲:Java NIO Buffer总结回顾与难点拓展 第78讲:Netty数据容器ByteBuf底层数据结构深度剖析 第79讲:Netty的ByteBuf底层实现大揭秘 第80讲:Netty复合缓冲区详解与3种缓冲区适用场景分析 第81讲:Netty引用计数的实现机制与自旋锁的使用技巧 第82讲:Netty引用计数原子更新揭秘与AtomicIntegerFieldUpdater深度剖析 第83讲:AtomicIntegerFieldUpdater实例演练与volatile关键字分析 第84讲:Netty引用计数注意事项与内存泄露检测方式 第85讲:Netty编解码器剖析与入站出站处理器详解 第86讲:Netty自定义编解码器与TCP粘包拆包问题 第87讲:Netty编解码器执行流程深入分析 第88讲:ReplayingDecoder源码分析与特性解读 第89讲:Netty常见且重要编解码器详解 第90讲:TCP粘包与拆包实例演示及分析 第91讲:Netty自定义协议与TCP粘包拆包问题解决之道 第92讲:精通并发与Netty课程总结与展望
Vue3问题:如何实现密码加密登录?前后端!
m0_74802419的博客
10-28 2842
在前端,用户点击登录和注册时,在登录和注册接口中不允许看到请求中真正的用户密码。 在后端,用户点击登录和注册时,在数据库中不允许存取真正的用户密码
登录与注册时两次md5加密过程详解
yxg520s的博客
05-07 5104
1 当前端传送密码到后端时候,需要进行两次MD5加密,登录和注册时的加解密流程是怎么样的? 前端和后端加密都可以规定使用密码的某几位作为盐进行加解密操作,而这种约定俗成的盐选取操作只有程序员自己知道,所以安全性较高,不需要前后端传送盐。 或者是前端和后端开发人员在开发的时候商量好这个第一层加密的盐,分别在前端和后端存储起来,这样前端在每次发送密码的时候都使用md5配合盐进行加密,服务器因为知道盐,所以可以自然的解密出来。 答: 1 无论是注册还是登录,密码的第一次md5加密是在前端完成的,第二次加密都是在侯
注册登录账号系统
weixin_74141222的博客
06-30 1589
网页上,我们经常注册账号和登录账号,感兴趣的话,请阅读下面的文章吧。一、项目介绍通过java语言,编写了一个注册登录账号系统,具备注册登录的功能。以上就是注册登录账号系统的简单介绍,真正的注册登录账号,用户注册的号码和密码都会存在一个文件中,登录时对比调取,登录对应的账号,而本文简单的提供了一次性注册登录账号的潦草系统
实现用户登录以及开放数据检验与解密
weixin_65684161的博客
05-14 405
在微信登录时,如果用户已经授权并同意登录,微信服务器会返回一个包含用户信息的JSON对象,其中包含了用户的openid。这段代码通过判断从微信服务器返回的JSON数据中是否包含openid属性,来确定用户是否已经登录。如果用户已经登录,则会在服务器端生成一个新的token,并将该token与用户会话信息(session)一起存储在服务器端,用于后续的请求验证。如果用户没有登录,则不会生成新的token。
登录注册系统
shasha_bucou_sha的博客
08-06 481
作业
用户中心登录注册整理
oooyooo的专栏
10-19 2758
登录: 登录方式 实现逻辑 手机动态密码登录  调用服务层的loginBusiness的动态登录服务先检验是否超过限制的登录次数初始化登录事件loginevent检查用户是否被禁止登录调用接口给手机发送获取到的验证码以下是调用接口* 获取参数(origin,terminalsource,challenge,answer,userIP)如果不是ap
如何解密网易ncm/qq音乐的qmcflac/酷狗kgm等加密格式转换成MP3
热门推荐
weixin_45720973的博客
07-24 1万+
详细信息参考:https://github.com/ix64/unlock-music 操作步骤: 1.https://github.com/ix64/unlock-music/releases/tag/v1.6.4 打开此网站,并下载 legacy.zip( window上), legacy.tar.gz(linux, mac上) 2. 解压该压缩包 3. 用Chrome(一定是谷歌浏览器)打开里面的index.html ,就会出来一个操作页面,然后上传你的音乐就行了 如果在网页上提示不行..
大型分布式网站架构与实践
08-24
 常见的分布式系统存储解决方案,包括MySQL的分布式扩展、HBase的API及使用场景、Redis的使用等。  如何使用分布式消息系统ActiveMQ来降低系统之间的耦合度,以及进行应用间的通信。  垂直化的搜索引擎在分布式...
计算机专业毕设精选-ASP网络求职招聘系统的设计与实现(源代码+论文).rar
03-21
5. **数据统计与分析**:系统可统计职位发布、简历投递等数据,帮助企业分析招聘效果。 **技术实现:** 1. **开发环境**:采用Windows Server + IIS + SQL Server的组合,确保系统的稳定性和安全性。 2. **编程...
计算机专业毕设ASP.NET图书馆管理信息系统(源代码+论文).rar
03-20
4. **用户管理**:提供对图书馆用户的注册、登录、权限管理和个人信息修改等功能。 5. **报表统计**:系统能够生成各种统计报表,帮助图书馆管理者分析数据,优化资源配置。 6. **安全性高**:采用了多种安全措施,...
设计注册登录功能时应该如何加密密码更安全?
@小聂同学的博客
05-01 1443
设计注册登录功能时应该如何加密密码更安全? 加密时使用MD5或者DES算法 1.生成一个随机盐对用户密码加密 编写注册登录功能代码时,一般会加盐使用MD5加密密码,将加密后的密码和盐存储到数据库,如果被人拿到数据库随时获取不到用户密码,但是,他可以自己注册一个账号,假设他的 账号:root1 密码:123456 他想登录别人的账号:root2 他只需将数据库里对应的root1账户的加密密码和盐复制给:root2 即可使用 账号:root2 密码:123456 来登录root2账户!从而达到他的目的! 2
登录验证中的密码加密技术(笔记)
曹某人的博客
08-27 871
1 MD5加密技术 MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SH
Django用户登录与注册系统
weixin_34343000的博客
03-16 8734
一、创建项目 1.1.创建项目和app django-admin startproject mysite_login python manage.py startapp login 1.2.设置时区和语言 Django默认使用美国时间和英语,在项目的settings文件中,如下所示: LANGUAGE_CODE = 'en-us' TIME_ZONE = 'UTC...
SpringBoot整合Spring Security实现登录、注册、密码加密
EPW云沐
11-21 2886
SpringBoot整合Spring Security实现登录、注册、密码加密
关于登录密码加密的三个方式
weixin_62395763的博客
05-21 3541
1、数据库加密,可能会被解密2、后端工具类加密,可能会被别人拦截前端传递的数据,导致泄露。3、前端加密是一个优解,在不影响执行速度情况下。当然想前后端都加密一次也可以。
静态代理IP是否支持HTTP和HTTPS
最新发布
smart_proxy_bo的博客
05-06 232
然而,需要注意的是,速度的快慢还与具体的网络环境和服务器性能有关,有时候HTTPS协议的速度可能会很接近或甚至超过HTTP协议。HTTP代理:静态HTTP代理是基于HTTP协议的代理方式。无论是使用HTTP还是HTTPS,静态代理IP都可以通过配置服务器的代理设置来实现对网络请求的转发和代理。总的来说,静态代理IP使用的协议的区别在于其适用的应用场景和支持的协议类型。HTTP代理适用于使用HTTP协议的应用,而SOCKS5代理则支持更多的协议类型。静态代理IP使用的协议有HTTP和SOCKS5两种。
点餐系统用户注册登录功能需求分析
05-14
2. 用户登录功能: - 用户可以使用注册时设置的账号和密码进行登录。 - 登录后可以查看订单历史、个人信息等。 - 登录后可以进行点餐并下单。 3. 安全性措施: - 用户密码需要进行加密存储,以保证用户信息的安全性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值