安全性,是一个公司生死存亡的关键,平时工作中,一旦遇到安全问题,必须立即高优先级处理。安全攻防,是一个动态的博弈,没有攻不破的防守,也没有防不住的进攻。
今天,我们来简要聊一聊注册和登录。注册APP成功后,就可以登录。看似简单的操作,其实蕴含了很多密码安全的问题。
当你注册APP,填写用户名和密码,点击提交后, APP后台肯定需要“存储你的用户名和密码”,而当你输入用户名和密码进行登录时,APP后台就能判定你输入的用户名和密码与当时注册的用户名和密码是否匹配,从而确定是否让你登录。
那么,有没有思考过这个问题:APP后台开发的程序员,能偷窥到你的密码吗?他们会盗用你的账号和密码进行登录吗?黑客攻击APP后台后,能盗用你的账号和密码吗?
显然,这是不能允许的。没有办法在道德和法律的规范下严格禁止这样的行为,那就要从技术机制上禁止,要确保即使在数据库和程序代码被盗走的情况下,坏人也无法破解密码。
1.密码直接明文存储
如果在APP后台数据库中直接存储用户名和密码,那么黑客可就要在睡梦中笑醒了: