密码存储与传输的那些事儿(五)密码传输

最新推荐文章于 2024-07-19 14:11:18 发布
最新推荐文章于 2024-07-19 14:11:18 发布
阅读量2k 收藏 3
点赞数 2
分类专栏: 安全 文章标签: 密码传输 密码哈希 登陆安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjxojm/article/details/81915520
版权

       对于密码的存储,需要使用密码哈希来保证用户隐私与密码安全,对于这一点基本上是没什么争议的。但对于像用户登陆这样的场景来说,需要传递用户密码,这时是否需要使用哈希算法?如何保证密码安全?

首选HTTPS

  • HTTPS肯定是最安全的方式,这点是毋庸置疑的。有些人也很极端的说,“如果项目都不肯用HTTPS,这样的公司待下去也没啥意思”,这点我却不敢苟同了。实际上很多小项目或者是私活之类的事儿,你也很难希望人家会有额外的资金给你用于申请证书,然而作为一位有节操的码农,你肯定还是希望保护一下用户的密码。
  • 至于在HTTPS下是否需要给密码哈希,这个就见仁见智了。使用HTTPS,密码传输安全实际上已经保证了,但对于一些监管不是很严格的公司,难保开发维护人员会在后台给你加上啥东西,没准直接就把用户密码打印到日志输出了,不少公司对代码管理其实都不是很严格,也难保程序员离职前给你搞一波什么事儿。另外,我还是觉得0.1并不等于0,做了保护总比明文要强一些,为此个人还是倾向于需要进行前台哈希。
  • 对于APP端的接口开发,个人感觉没啥好说的,直接上HTTPS吧,哪怕你可以自己签发证书,只要在客户端上安装信任自己的根证书即可。

HTTP情况下的密码保护

方法一

  • 服务器端存储密码为Hash(Random-Salt + Hash(Constant-SALT + Pasword))
  • 客户端传输密码为Hash(Constant-SALT + Password)
  • Random-Salt为用户的随机盐࿰
最低0.47元/天 解锁文章
DreamerJ
关注
专栏目录
yii2中关于加密解密的那些事儿
10-18
这种方式可以确保数据在存储传输过程中的安全性。 6. 效率更高的加密解密方法:`encryptByKey`和`decryptByKey`方法用于加密和解密数据,它们比使用密码的方式更快。这些方法同样需要一个密钥,并且密钥处理方式...
工作实战之密码防重放攻击
zengliangxi的专栏
03-01 944
密码重放攻击:请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的的方式
如何安全传输存储用户密码?(程序员必备)
ALLEN'Blog
09-23 932
我们开发网站或者APP的时候,首先要解决的问题,就是「如何安全传输存储用户的密码」。一些大公司的用户数据库泄露事件也时有发生,带来非常大的负面影响。因此,如何安全传输存储用户密码,是每位程序员必备的基础。本文将跟大家一起学习,如何安全传输存储用户的密码。MD5 是一种非常经典的哈希摘要算法,被广泛应用于数据完整性校验、数据(消息)摘要、数据加密等。但是仅仅使用 MD5 对密码进行摘要,并不安全。}`在MD5免费破解网站一输入,马上就可以看到原密码了。。。
解决系统明文传输的问题(亲测有效)
最新发布
tlovet_1314的博客
07-19 1091
解决明文传输问题
面试必备:如何加密传输存储用户密码
good7ob的博客
11-16 543
在今天的数字化世界中,用户密码安全性至关重要。无论是网站、应用程序还是其他在线服务,保护用户密码免受黑客和不法分子的侵犯是任何开发者和管理员的首要任务之一。本文将为你提供关于如何加密传输存储用户密码的详细指南,旨在帮助你更好地理解和保护用户密码安全
密码加密传输
xixingzhe2的博客
08-13 7629
RSA加密
LINUX\Linux那些事儿系列
09-30
在“LINUX\Linux那些事儿系列”中,我们探索了Linux操作系统的核心概念和技术,这个系列涵盖了多个关于Linux内核和设备驱动程序的关键主题。以下是基于提供的文件名所涉及的几个重要知识点的详细说明: 1. **Linux...
Linux那些事儿[完整版]自己整理
02-03
【Linux那些事儿[完整版]】是一份关于Linux操作系统核心知识的综合整理,涵盖了从早期的2.6.10内核版本到2.6.22内核版本的更新与发展。这个资料集旨在深入浅出地讲解Linux系统的核心概念和技术,帮助读者理解Linux...
Linux那些事儿系列丛书__合集
05-20
### Linux那些事儿系列丛书__合集 #### 重要知识点概览 本文档旨在总结《Linux那些事儿系列丛书__合集》中的关键知识点,该合集由多个部分组成,覆盖了Linux内核、设备驱动等核心领域的深入探讨。下面将根据提供的...
内网渗透测试:NTLM Relay攻击分析
whatday的专栏
07-31 6683
目录 基础知识 NTLM认证过程 NTLM中继攻击原理 获得Net-NTLM Relay的思路 利用LLMNR和NetBIOS欺骗获得Net-NTLMHash 利用WPAD劫持获得Net-NTLMHash SMB Relay(SMB中继)攻击 攻击演示 Responder中的MultiRelayx.py Impacket中的smbrelayx.py Metasploit中的smb_relay模块(ms08-068) Impcaket中的ntlmrelayx.py Ending...
用户密码传输存储的保护
weixin_34221073的博客
02-09 809
软件设计的过程中,用户的密码信息最为敏感,在进行用户登录验证时,除了将密码传输的过程中,进行md5加密,避免密码明文传输过程中被截获外,还有一个就是密码在数据库中的存储安全问题。 常用的方案是对密码进行“加盐”处理。 用户注册。 1.得到用户传过来的密码后,首先在计算机中获取一个随机数, 2.获取到随机数后,设计一个任意算法...
密码存储传输的那些事儿(一)密码存储概述
jjxojm的专栏
08-10 2422
     最近看到一个项目,用明文存储密码,让人不忍直视,所以就想聊聊密码存储以及登陆过程中密码传输的那些事儿。      首先就来看看密码存储密码不能明文存储相信这个都不会有异议,那应该如何存储呢?     方案1: 加盐哈希        相信这个方案也是大多数公司目前使用的方案,至于哈希算法的话,普遍都采用MD5、SHA1、SHA256等算法。加盐的方式也各不相同,比如在密码尾部...
关于明文传输的问题
热门推荐
发哥微课堂
09-12 1万+
引子: 上周拿到一个线上复测的项目,中间有一个明文传输问题,这个问题平时基本不记,客户那测试基本都是内网环境,上线基本都是 https。这个问题之前是这样测试的:抓包,如果内容是明文就记这个问题,这里存在很多的问题。 问题 1:线上环境 https 为什么抓到的包是明文 这个问题很容易搜到答案,原因在于 https 的加密是传输的过程,burp 拦截的数据包没有走到传输那一步,它只相当于拦截...
关于密码的加密数据存储--正确使用加盐密码哈希
Jack__iT的博客
06-19 3920
为什么密码需要进行哈希? hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824 hash("hbllo") = 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366 hash("waltz") = c0e81794...
密码是如何在服务器上存储和校验的?哈希算法有什么用?缓存是如何实现的?
性感的小君君
10-08 1786
文章目录1. 密码是如何在数据库存储的1.1 Hash算法1.2 密码是如何存储的1.4 还有什么更好的办法吗?1.5 缓存是如何实现的**业余画师还望见谅** 1. 密码是如何在数据库存储的 要说密码怎么存储,还得先说hash算法 1.1 Hash算法 散列 输入的肯定对应唯一的输出映射表 HASH算法不是大学里数据结构课里那个HASH表的算法。这里的HASH算法是密码学的基础,比较常用的有M...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值