以下内容学习自白帽子讲WEB安全
几乎每个系统都有认证管理,认证与授权是两码事,认证是目的是认出登录的人是谁,而授权是决定登录的人可以做什么事情,授权是取决与认证的
认证的目的是为了识别到正确的人,而识别的依据是可以是密码,指纹,虹膜,人脸等,认证实际是哪个是一个验证凭证的过程
如果只有一个凭证,则成为"单因素认证",如有多个凭证,则称为"多因素认证",一般来说,多因素认证的强度高于单因素认证,但是多因素认证的体验比单因素认证差一些
密码认证
密码是最常见的认证方式,但密码认证是比较弱的方式,目前并没有一个标准的的密码策略,根据OWASP( http://www.owasp.org)的最佳实践,总结如下
1. 密码长度方面
-
普通应用密码长度要求6位数以上
-
重要应用密码长度要求是位数以上,并考虑多因素认证
- 码复杂度方面
-
密码大小区分大小写
-
密码为大写字母,小写字母,数字,特殊字符中2种以上的组合
-
不要有连续的字符,比如说我是个1234abcd,这种字符顺序着人的思路,很容易被拆解
-
尽量避免重复的字符,比如1111
3.其他
-
不要使用用户公开的数据或者是与个人隐私相关的数据作为密码,比如不用使用QQ号,电话号码,身份证,昵称,生日,英文名等作为密码,这些信息可以从互联网上得到,并不是很保密
-
不要使用弱口令,比如123456,目前黑客常用的暴力破解密码,不是破解密码,而是选择弱口令,比如123456,然后猜解用户名,直到发现一个弱口令账户为止
密码保存
密码必须以不可逆的算法,或者单向散列函数算法,加密后保存到数据库中,这样做是尽最大可能保存密码的私密性,即使黑客入侵的系统,导出李书记,也无法获取明文的密码
业界比较普遍的做法是将密码经过哈希(比如MD5或者 SHA-1)后,再保存到数据库中,登录时验证密码的过程仅仅是验证用户提交的"密码"哈希值是否与保存在数据库中的密码一致
目前黑客广泛使用的破解MD5后密码的方式是"彩虹表",彩虹表是收集尽可能多的密码明文和明文对应的MD5值,这样只需要查询MD5值就可以找到MD5值对应的明文,为了避免密码哈希值泄露后,黑客可以通过彩虹表擦汗到的密码明文,可以在计算密码明文的哈希值时增加一个"Salt","Salt"是一个字符串,它的作用是为了增加明文的复杂度,并使得彩虹表一类的攻击失效
Salt的使用如下
MD5(Username+Password+Salt)
其中Salt可以是任意字符串