如何处置web系统中的密码

最新推荐文章于 2022-05-22 17:21:59 发布
最新推荐文章于 2022-05-22 17:21:59 发布
阅读量144 收藏
点赞数
原文链接:https://my.oschina.net/liuxd/blog/386735
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

密码,是敏感又重要的信息。对密码的处理是非常重要的。那么在web系统该如何处理密码呢?在下略有心得,备忘如下。

密码的轨迹

用户 => 应用服务器 => 数据库

从用户在客户端/浏览器输入密码到传输到应用服务器,再存储到数据库。有很多措施可以用来提高密码的安全性。

用户 => 应用服务器

用户的原始密码经过http协议传输到应用服务器。

  • 使用https

    虽然前段时间出现心血漏洞,但是并不能说https就没用了。

  • 加密传输。

    对原始密码进行单项加密可以有效提高破解成本,甚至完全杜绝渗透者获得用户的原始密码。虽然对于抓包者来说,仍然可以获得登录令牌,但至少他无法获得用户原始密码,不会把用户密码扔到社工字典里。很大程度上减少了密码泄露的损失。

    密码加密有几点需要注意:

    1. 密码的加密一定要单向加密,一方面这样加密不影响使用,另一方面也比可解密的算法破解成本更高,从而提高了安全性。
    2. 选择多个语言都可以实现的算法。毕竟web系统基本都是多端的(web,ios,android等),一定要确保所有客户端都可实现才行。
    3. 权衡加密成本。如果加密需要额外软件包,从而增加安装包体积和依赖管理复杂度的话,就要根据实际情况有所取舍。
    4. 对于JavaScript。推荐:https://github.com/evanvosberg/crypto-js

应用服务器 => 数据库

服务器到数据库这一关也同样需要加密。当然,仍然是单向加密。这样,即使数据库被爆也至少不会让用户密码公之于众。 这里就PHP语言推荐两个函数:

  • crypt()

    这个函数比较奇妙,它会根据加的盐不同而使用不同的加密算法。这对破解者来说着实是个噩梦,不仅要破解算法,还要破解盐。

  • password_hash

    这是PHP 5.5开始增加的密码加密专用函数。如果生产环境已经使用PHP 5.5了,还是推荐使用这个函数。

转载于:https://my.oschina.net/liuxd/blog/386735

weixin_34143774
关注
web系统常见的密码加密方式
02-04 1万+
1 用户密码加密的必要性 web系统通常都会有登录的功能,登录功能的逻辑是这样的:一个用户拥有一个用户名为zhangsan,密码为123456的账号,在登录时,前端去调用后端的登录接口,并传入zhangsan与123456作为参数;在后端代码内容运行时,会根据zhangsan这一用户名去查询数据库的用户表,查询出的内容会包含密码,将这一个密码与用户所输入的密码做一个比对,如果相...
小白的靶机VulnHub-Web Developer
wo41ge的博客
02-02 1万+
靶机地址:https://www.vulnhub.com/entry/web-developer-1,288/ 开机界面 就是这样 同样是选择桥接 确定靶机的IP地址:192.168.1.10 靶机开放了22和80端口 还是wordpress框架 访问康康呗 dirb直接扫目录 发现目录/ipdata 有一个数据包 用wireshark 打开分析一下 过滤下http的数据包信息 然后就发现了 账号密码 账号:webdeveloper 密码:Te5eQg&4sBS!Yr$)wf%(DcAd
21种Web应用程序处理密码的最佳做法
web前端开发
05-16 523
英文 |https://betterprogramming.pub/21-best-practices-for-handling-passwords-in-web-application...
Web】【Servlet】【Cookie记住登陆的账号和密码存储在本地磁盘】2016.04.02
chengji4739的博客
04-02 202
1.创建一个Servlet来实现登陆界面 packagecom.web.he0401rememberpassword; importjava.io.IOException; importjava.io.PrintWriter; importjavax.servlet.Servl...
html加密文件怎么解密,如何取消文件的加密保护,如何解密?
weixin_39664456的博客
06-27 1565
有很多用户试用期过后不想再继续使用加密软件了,就选择直接卸载,或者是忘记密码了,想尝试卸载软件来让文件夹变成正常状态,但是呢?卸载掉软件后你会发现自己被加密的文件夹变成了白色图标,双击打开这个样子:划重点:解密=彻底去掉密码/不再加密/取消加密卸载软件≠文件解密 卸载是卸载,解密是解密首先我们要明白的一点是:您没有进行解密的操作,那么文件就会是一直保持加密效果的。卸载的只是软件,文件打不开...
IDEAWeb项目控制台乱码的问题及解决方法
09-07
本文将深入探讨IDEAWeb项目控制台乱码的问题,并提供相应的解决方法。 首先,我们要区分乱码问题的来源。乱码可能是由于Tomcat服务器的日志编码与IDEA显示编码不一致导致的。Tomcat日志编码通常可以在Tomcat安装...
最新WebFTP文件在线管理系统源码
06-10
总之,WebFTP文件在线管理系统结合了FTP的实用性与Web的易用性,是现代网络环境常用的一种文件管理工具。通过学习和理解其源码,开发者不仅可以提升Web开发技能,还能了解到如何构建安全、高效的文件管理系统
web前端开发技术 在线投票网站系统设计
06-30
在本项目,"web前端开发技术 在线投票网站系统设计"主要涵盖了多个重要的Web开发概念和技术,包括用户注册与登录、数据可视化、实时更新以及排行榜展示等关键功能。以下是对这些知识点的详细阐述: 1. **Web前端...
消息摘要算法在Java Web系统的应用.pdf
01-01
在 Java Web 系统,消息摘要算法是一种非常重要的安全技术,主要用于保护用户的敏感信息,如密码、用户名等。随着 Java Web 的广泛应用,系统的信息安全性也变得越来越重要。传统的用户名和口令鉴别用户身份及...
Java WEB开发文乱码问题解决方法.pdf
07-02
然而,在Java Web开发处理文字符时,编码不一致常会导致乱码问题。 字符编码转换在Java Web应用开发是不可或缺的一个过程。计算机只能识别二进制数,而字母、数字、汉字等通过字符编码转换成二进制形式存储。...
登录注册系统,前端密码安全解决方案
earthhour的专栏
12-06 7466
解决密码安全问题,通常是需要一套解决方案的。而不是某几个加密方法。 1、采用HTTPS加持 2、后端不需要解密前端传过来的密码,这种情况下用md5加密 3、后端需要解密前端传过来的密码,可以用AES(令牌+密码)。 前端登录流程:①、调用接口获取令牌,令牌放入redis(前缀+sessionId作为缓存key),有效时间2分钟   ②、客户端“用户名=用户名&AES(令牌+密码)”登录
Web项目,要求:保存用户名和密码在Cookie,下次登录不再重新输入
weixin_33851604的博客
12-03 1726
设计一个实现登录功能的Web项目,要求:保存用户名和密码在Cookie,下次登录不再重新输入 var cookie = {};//设置 cookie.SetCookies=function(name,value,exptime){ try{ if(arguments.length == 2) return arguments.callee...
Javaweb实战,对用户密码密码进行加密加盐,提高用户信息安全性
weixin_59334478的博客
05-22 2475
加密 对称加密:明文按照一定规则加密成密文,这个密文可以按照对应的规则解密成明文。(隐患:当黑客知道加密规则后就可以解密,如base64) 非对称加密:明文按照一定规则加密成密文,密文没有对应的规则解密成明文。(加密后的明文是不能解密的,如MD5),但现在网上已经有了非对称加密的加密解密网址,如果黑客到的用户的密码的密文在该网站上输入密文,就可以得到该密码的明文(理论上加密后的明文是不能解密的,但这些网站通过穷举法就可以解密,底层原理十分复杂,规避方法为设置用户密码时不能为纯数字,或者对加密后的密文进行
我的java web登录RSA加密
热门推荐
yys79的专栏
11-26 2万+
之前一直没关注过web应用登录密码加密的问题,这两天用appscan扫描应用,最严重的问题就是这个了,提示我明文发送密码。这个的确很不安全,以前也大概想过,但是没有具体研究过,都不了了之,这次借这个机会,终于搞定了这个问题。 首先,有不少帖子说在客户端用js对密码进行md5摘要,然后提交给登录处理的url。这种做法无非是自欺欺人,就算别人抓包抓不到你原始密码,用这个md5后的密码一样可以模拟登录...
Web 实现登录记住密码功能
平凡的人类的博客
08-14 2949
HTML <form id="nameLoginForm"> 账户名:<input type="text" name="name" id="name" class="input-text" autocomplete="off" placeholder="用户名/邮箱/手机号" /> 密码:<input type="password" name="p...
谈谈系统密码存储策略
weixin_33901641的博客
09-17 205
最近IT界很火的一则新闻是华住的数据库泄露问题,身边很多人在讨论数据库安全的问题,大家经常说提升密码复杂度、加密等,但是很多人并不知道在开发的时候,用户的密码怎么处理,或者说,处理的并不恰当,这篇文章主要介绍在系统设计的过程,我们的密码究竟应该怎么处理才最大限度的保证安全。 密码加密的重要性? 还是从脱库说起,数据库被人拉走了,最可怕的是什么?个人手机、身份证、地址??这些是很重要,但是,其...
毕业设计论文SpringBoot社区老人健康信息管理系统.docx
10-17
毕业设计论文
TEAM-NAVI-Requirements Specification Document
最新发布
10-17
TEAM_NAVI_Requirements Specification Document
解决Web应用文乱码问题详解
在"李县伟主讲-Web应用乱码问题"一章,作者深入探讨了Web应用常见的字符编码挑战。首先,章节概述了字符编码的重要性,强调了各国和地区对字符集的规定,如ASCII、GB2312-80和JIS,这些编码集用于信息处理并支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值