浅谈用户名密码登录方式的弊端

最新推荐文章于 2024-10-16 13:21:03 发布
最新推荐文章于 2024-10-16 13:21:03 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 用户名 密码 弊端 salt hash 认证 安全 文章标签: 服务器 加密 存储 数据库 ssl 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uyehniy/article/details/7432820
版权
本文探讨了互联网中广泛采用的用户名密码登录方式存在的安全问题,包括密码存储、传输过程中的风险,以及如何通过加密、盐值、挑战/应答模式和SSL加密等手段提高安全性。同时指出,即使采取安全措施,若用户在多个网站重复使用同一凭证,仍可能因某一网站的安全漏洞导致损失。
摘要由CSDN通过智能技术生成

纵观互联网,绝大多数网站都采用用户名和密码的方式认证用户的身份。安全问题百出。

首先,密码存储问题,服务器端肯定不能存储用户密码的明文(前段日子的密码门事件让我们认识到了事情的严重性)。那么服务器端存储什么呢?密码的Hash值?还是(密码+随机数)的hash值(随机salt二次加密)?


下面细细道来。

服务器端存储密码hash值的话不大靠谱,如果黑客获取了服务器数据库的话,随便找一个明文,做一下hash,和数据库里面的hash值对比一下,就可以找到一大批具有此hash值的用户名。也就意味着,黑客轻易获得了一大批用户名和密码(虽然密码都是同一个)。


salt二次加密技术还是比较靠谱的一个,起码从服务器端入手的黑客需要耗费相当大的力气去找碰撞。但是salt方案就安全吗?我的答案是否定的,正所谓无孔不入,此路不同另寻他路。

既然要使用salt二次加密方法,那么用户在登录的时候肯定是在网络上传输了自己密码,明文传输可靠吗?稍微会用sniffer就能抓到一大堆用户名密码。


传输过程中绝对不能明文传输密码。那怎么传输密码呢?也传输hash值吗?

传输hash值?有意义吗?照样可以用sniffer把hash以后的值截下来,然后自己手工构造数据报文,把hash值贴上去。同样也能通过服务器端的认证。

额。。。传输hash值不行,那怎么办呢?传输一个密码的变形?使用挑战/应答模式?

A----"我要登陆"----->B

A<----"随机数R"----

最低0.47元/天 解锁文章
uyehniy
关注
专栏目录
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5689
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
JDBC——(4)获取数据库连接——方式
qq_44891295的博客
12-27 298
获取数据库连接的第二种方式步骤: 1:实例化Driver 2:提供url,指明具体操作的数据 3:提供Properties的对象,指明用户名密码 4:调用driver的connect(),获取连接 @Test public void testConnection2() throws Exception { // 1.获取Driver实现类对象:使用反射 Class clazz = C...
固定密码认证方式的缺陷和潜在***隐患
weixin_33770878的博客
07-06 434
在讲解认证的例子中的“PASSWORD”,我们称之为“常规口令(密码)”。目前各类计算资源主要靠固定口令的方式来保护。比如你需要访问一个NT系统,首先必须在这个NT上设置一个账户,并设定密码。当通过网络访问NT资源时,系统会要求输入你的账户名和密码。在账户和密码被确认了以后,你就可以访问NT上的资源了。这种以固定密码为基础的认证方式存在很多问题,最明显的是以下几种。1)网络数...
csdn登录不上去或登录卡顿问题处理
python_innocent的博客
02-28 744
csdn登录不上去解决办法
电子商务常见问题
路雪军 Carl
04-15 1万+
(一)安全认证一、简答题: 1. 电子商务的哪些特点对金融安全认证有特殊的要求?参考答案:      首先,在电子商务交易中,交易的双方都不见面,换句话说就是买卖双方对于商品的质量,对方的支付能力、商业信誉、付钱后对方是否能接收到等都没有一个直观地了解,而且还得确保支付安全。这些信息都是决策者做出决定的重要根据,所以需要一个第三方的认证机构,来提供可靠的信息。金融认证机构的责任相当重大,应当定期的
CSDN的登录,彻底不能用用户名密码
郝玉杰的专栏
05-15 7586
CSDN的登录,彻底不能用用户名密码了。这个网站最大的问题就是功利性。老实说,就是我个人,除了写blog的时候,也是尽可能躲得远远的,一名搞技术的人,如果不对铜臭过敏,早去炒股了,早不搞技术了。算了,还是写博客吧。...
好久没来CSDN啦,刚登录提示密码不正确,最后一查看,被人盗用了,火大!
army369168520的专栏
12-25 598
CSDN 一定要给我一个说法!!!!不光给我,也要给大家一个合理的说法。。。。。。。。
邮件那些事4—浅析伪造发信人的原理与识别
信息安全
10-21 2万+
如果你接受到一封银行的邮件让你点击文档进行查账单、如果你接受工资条的文档,老板说给你涨工资了让你查看工资条~那么你极有可能收到了伪造发件人的假邮件!! 根据SMTP协议的规范,隐藏着一个安全漏洞,那就是,收信人是可以伪造的。在没有详细说明伪造过程之前我们先从如何通过命令行发送邮件说起。   通常我们多数人通过网页登陆邮箱,或者通过邮件客户端来发送和接受邮件,那么有了这些封装工具,更难让我们接
基于java的在线医院挂号系统设计(含源文件)
热门推荐
【完整】
03-04 2万+
欢迎添加微信互相交流学习哦! 项目源码:https://gitee.com/oklongmm/biye 基于SSH的医院在线挂号系统设计与实现 摘 要 互联网技术迅速的发展给我们的生活带来很大的方便,同时也让许多行业迅速的发展起来。互联网技术已走向科技发展的巅峰期,我们要做的就是合理的使用互联网技术让我们的各个行业得到更快速的发展。 就医疗领域来说,如今看病难已成为我们生活中的一大难题,传统的医院挂号中,我们需要用手动方式来处理信息,这种方式需要我们的医护工作人员和管理人员花费大量的时间来处理事务.
操作系统的密码安全问题
HoewDec的博客
05-31 542
一、存在的隐患 1.口令设置的漏洞 用户在设置系统口令过程中,往往喜欢使用自己姓名的拼写、熟悉的英文单词、出生年月日、手机号码等常用数字或者相互叠加而成为自己的系统密码。此种设置方法在简单易记的同时,也留下了设置漏洞,使入侵者攻击成功的可能性增大。 2.社会工程学的攻击 入侵过程中,电脑黑客可能利用网络搜索引擎大量收集攻击对象的相关资料,以便辅助他们进行更有效地攻击。通过对过去发生的诸多网络安全事故分析发现,FTP、数据库、文件等服务器、远程终端等设置同一密码的情况比比皆是,如此一来,黑客...
网站登录密码的安全性问题小结
weixin_34268169的博客
12-03 461
最近在做一个小系统,需要用户登录功能。虽然系统对安全性要求并不高,但是希望借此机会增长下安全方面的知识,因为网络信息安全对于编程甚至对日常生活都很重要。于是就搜索一下网上关于登录密码安全防护的一些网页,在这里进行一下整理和总结。由于我对安全方面的知识只有较粗浅的了解,因此这里给出了觉得比较有参考价值的文章的链接,请想深入了解的人还是亲自参考下那些文章,或者延伸阅读更专业、详尽的书籍、资料。另外,我...
什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码
qq_45793102的博客
03-27 4985
这里是修真院后端小课堂,本篇分析的主题是 【什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码?】 每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析后端知识/技能,本篇分享的是: 【什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码?】   大家好,我是IT修真院深圳分院第10期的JAVA学员...
传统数据库访问方法及弊端
xinjingsihai的博客
06-21 1918
陈述jdbc访问数据库弊端
QQ网站登录的RSA加密传输缺陷分析
edison20的专栏
11-29 884
   QQ网站登录处没有使用https进行加密,而是采用了RSA非对称加密来保护传输过程中的密码以及敏感信息的安全性。 QQ是在javascript中实现整个过程的。这个想法非常新颖,但是也是存在严重缺陷的。如果被黑客利用,则可能被捕获明文密码。分析报告如下:Author: axisDate: 2007-11-23Team: http://www.ph4nt0m.org  (http://ps
SpringSecurity-用户认证基础之自定义用户名密码的三种方式及其优缺点对比
qq_45596525的博客
11-30 718
文章目录前言一、使用配置文件定义用户名密码代码二、使用配置类三、使用配置文件加实现类的方式代码实现 前言 作为本月最后一篇文章, 想写点Web技术相关的, 浏览了本月的博客发现居然全是数据结构与算法的文章????,说实话我是有点写吐了的. 十二月的话 , 计划是不会用新文章了(不过可能会更新数据结构和JavaSE的思维导图) . 毕竟考试月到了嘛,学校的课程除了数据结构几乎没怎么学过其它的. 行了行了,话不多说, 我们进入正题 提示:以下是本篇文章正文内容,下面案例可供参考 一、使用配置文件定义用户名
PostgreSQL Windows系统初始化、登录、创建用户及数据库
最新发布
Cachel Wood的博客
10-16 306
完成以上步骤后,你就可以使用新创建的用户登录到。服务器,并且可以在新创建的数据库中进行操作。安装完,可以去服务里面查看,并启动该服务;服务名可自定义,此处服务名为。参数指定了要登录用户名,这条命令将所有权限授予了。是要创建的数据库名。数据库进行所有操作。
Linux查看下nginx及使用的配置文件
木槿
10-10 468
2、通过进行pid查到nginx路径。3、根据路径得到配置文件。1、查到nginx进程。
linux:使用sar诊断问题
李白
10-10 789
工具包中的命令,用于收集、报告和保存各种系统活动的统计信息。它可以监控 CPU、内存、磁盘 I/O、网络等多种资源的使用情况。它生成了一段时间内的内存使用统计,包括空闲内存、已使用内存、缓存和缓冲区等信息。,可以分析系统的 CPU 性能,了解 CPU 是处于忙碌状态还是有足够的空闲资源,以及是否有 I/O 或 CPU 相关的瓶颈。:报告文件表、inode 表、缓冲区和内核内部的相关信息。:报告内存的使用情况,包括物理内存和交换空间的统计数据。:报告交换空间的活动情况,包括交换入和交换出的数据量。
Ajax技术详解:用户名验证、服务条款加载、验证码生成实现方法
Ajax异步javascript和xml技术能够解决传统的web应用中"发送请求-等待响应"这种模式的弊端,提高用户体验。 一、Ajax异步技术的原理 Ajax异步技术的核心是 XmlHttpRequest 对象,该对象可以异步地向服务器发送请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值