为什么要说密码安全呢?
因为密码是保护我们账户的第一手段,你像现在的所有软件注册登录都是账号密码,那么你的密码不安全就意味着你的账号以及你的隐私等等完完全全暴露了出来,对于搞破坏的人来说,你就很危险,接下来从四个方面来讲讲密码安全
1.密码明文传输
概念:在登录或者修改密码处,密码未采取任何的加密措施,明文直接传输在数据包中。
危害:攻击者利用中间人攻击,直接抓包,就可以得到明文密码
防御手段:利用非对称算法RSA进行加密
当然还要MD5和对称算法AES可以选择但是这两种方法更容易破解,具体下期讲
2.任意账号密码修改
概念:在修改密码时,未校验用户session与userid是否为同一个同一个用户,仅仅校验了session对应的原密码与用户输入的原密码的准确性,导致任意输入userid,利用session对应的原密码认证策略,即可修改该userid对应账号的密码。
危害:盗号
防御手段:
1.先校验sessionID与userid是否为同一个用户,然后在判断userid从数据库查询的密码与前段输入的密码是否相同,然后进行判断用户状态是否封禁,再进行其他操作。
2.不传入userid