建立安全通道遇到的问题
- 钓鱼、木马(神都救不了你,赶紧改密码吧)
- 脱裤、撞库(祈祷别人不是存明文密码吧)
- 暴力破解(如彩虹表、简单密码暴力破解)
- 重放、伪造登录
- 窃听(伪造服务器、伪造客户端、中间人攻击)
- 前向安全
如何设计一个安全的登录过程
第一阶段(裸奔)
数据库直接存储密码、请求包、回包均为明文且带上了密码和key。解决不了上面的任务问题,登录设计的所有大忌均犯了。
第二阶段(简单加密)
请求包和回包使用密码加密(通道加密√),但数据库依旧存储明文密码,容易被脱裤、暴力破解。
第三阶段
客户端生