用户认证之密码

密码是最常见的一种认证手段,持有密码的人被认为是可信的。长期以来,桌面软件、互联网都普遍以密码作为最基础的认证手段。

 

密码强度

密码强度是设计密码认证方案时第一个需要考虑的问题。在用户密码强度的选择上,每个网站都有自己的策略。目前没有一个标准的密码策略,但是根据OWASP推荐的一些最佳实践,我们可以对密码策略稍作总结。

密码长度方面:

  • 普通应用要求长度为6位以上
  • 重要应用要求长度为8位以上,并考虑双因素认证

密码复杂度方面:

  • 密码区分大小写字母
  • 密码为大写字母、小写字母、数字、特殊符合中两种以上的组合
  • 不要有连续性的字符,比如:1234abcd,这种字符顺着人的思路,所以很容易猜测
  • 尽量避免出现重复的字符,比如:1111

还需要注意,不要使用用户的公开数据,或者是个人隐私相关的数据作为密码。比如不要使用QQ号、身份证号、昵称、电话号码、生日、英文名、公司名等作为密码,这些资料往往可以从互联网上获得,并不是那么保密。

 

密码保存

密码的保存也有一些需要注意的地方。一般来说,密码必须以不可逆的加密算法,或者是单向散列函数算法,加密后存储在数据库中。

将明文密码经过经过哈希后(如MD5或SHA-1)再保存到数据库中,是目前业界比较普遍的做法——在用户注册时就已将密码哈希后保存在数据库中,登录时验证的过程仅仅是验证用户提交的密码哈希值,与保存在数据库中的密码哈希值是否一致。

目前黑客们广泛使用的一种破解MD5后密码的方法是”彩虹表(Rainbow Table)“。

为了避免密码哈希值泄露后,黑客能够直接通过彩虹表查询出密码明文,在计算密码明文的哈希值时,增加一个”salt“。”salt”是一个字符串,它的作用是为了增加明文的复杂度,并使得彩虹表攻击失效。“Salt”应该保存在服务器端的配置文件中,并妥善保管。

 

密码认证方式

常规登录流程

  1. 前端web页面用户输入账号、密码,点击登录。
  2. 请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。
  3. 提交账号、md5之后的密码
  4. 请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。

上述流程看似安全,认为传输过程中的密码是md5之后的,即使被监听截取到,由于md5的不可逆性,密码明文也不会泄露。其实不然!监听者无需解密出密码明文即可登录。监听者只需将监听到的url(如:http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放(Replay Attack)一下,即可冒充你的身份登录系统。

 

密码加随机码

  1. 进入登陆页面时,生成一个随机码(称之为盐值),在客户端页面和session中各保存一份。
  2. 客户端提交登录请求时,将md5之后的密码与该随机码拼接后,再次执行md5,然后提交(提交的密码=md5(md5(密码明文)+随机码))。
  3. 后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

该登录方式,即使登录请求被监听到,回放登录URL,由于随机码不匹配(监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略),无法登录成功。 该登录方式,由于传输的密码是原密码md5之后与随机码再次md5之后的结果,即使监听者采用暴力破解的方式,也很难解密出密码明文。

 

加固定盐值保存

考虑到密码输入的方便性,好多用户的密码都设置的很短,并且不够复杂,往往是6位数字字母组合,这样的密码md5之后保存到数据库,一旦数据库数据泄露,简单密码的md5结果很容易通过暴力破解的方式给解密出来,何况md5出现了这么多年,可能已经有不少字典了!同时为了方便用户登录的方便性,我们的系统一般不可能要求用户设置很长、很复杂的密码!怎么办?加固定盐值

  1. 系统设置一个固定的盐值,该盐值最好足够复杂,如:1qaz2wsx3edc4rfv!@#$%^&qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA
  2. 用户注册、修改密码时,将用户的原始密码与我们的固定盐值拼接,然后做md5运算。
  3. 传递至后端,保存进数据库(数据库中保存的密码是用户的原始密码拼接固定盐值后,md5运算后的结果)。
  4. 登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。
  5. 后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值