不安全的加密存储,不仅局限于没有对密码等需要保护的字段进行加密之外,还包括加密算法太弱,很容易就可以破解。
一、加密弱点
使用不安全的加密算法。加密算法强度不够,一些加密算法甚至可以用穷举法破解。
加密数据时密码是由伪随机算法产生的,而产生伪随机数的方法存在缺陷,使密码很容易被破解。
身份验证算法存在缺陷。
客户机和服务器时钟未同步,给攻击者足够的时间来破解密码或修改数据。
未对加密数据进行签名,导致攻击者可以篡改数据。所以,对于加密进行测试时,必须针对这些可能存在的加密弱点进行测试。
二、不安全的加密存储的防御措施
首先,对于需要保护的字段一定不能直接存储或输出,需要使用加密算法等。
对于已经使用加密算法的字段,一定要注意尽量使用强一些的加密算法,伪随机数等过于简单的算法,也会对网站的安全造成巨大威胁。(关于怎样提高加密存储的安全性,有哪些方法和算法等,网上很多,我自己也没什么代码研究,这里不再细说)。