用户登录安全是如何保证的?如何保证用户账号、密码安全?

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量950 收藏 10
点赞数 8
文章标签: 安全 java 数据库 mysql 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68074170/article/details/140613579
版权

1.HTTP协议直接传输密码(无加密)

前端 直接发送HTTP请求(无加密),攻击者可直接捕获网络包,看到下面的明文信息

因此,使用HTTP协议传输会直接暴露用户敏感信息。

2.HTTPS协议直接传输密码(加密传输)

后来人们提出了HTTPS协议,HTTPS协议利用TLS/SSL协议进行加密。

那么,使用HTTPS协议直接传输密码(加密传输——对称加密/非对称加密)就一定是安全的吗?

对称加密存在的缺点:

  • 前后端加密解密需要同时修改代码;

  • 前端加密无非是写在JS里,但是JS有风险被直接破解从而识别加密方法。

非对称加密存在两种风险 :

  • HTTPS是应用层协议,下层采用TLS/SSL协议保证信息安全,但是在应用层之上——客户端和服务端,密文同样是可以被截获的。
  • HTTPS报文在传输过程中,如果客户端被恶意引导安装“中间人的Web信任证书”,那么HTTPS中的“中间人攻击”一样会将明文密码泄露。

结论是,无论HTTP还是HTTPS,密码必须密文传输

想想HTTPS也不能一定保障用户密码信息,那么就应该考虑在应用层之上再继续对密码进行保护,也就是编写代码来进行控制,而不依赖特定协议

3.使用摘要算法进行加密

比较容易想到的就是利用不可逆加密散列函数MD5(string),用户在注册输入密码的时候,就存储MD5(password)值,并且在WEB端先进行MD5(password),然后将密码传输至后台,与数据库中的密文进行比较(PS:MD5函数在指定位数的情况下,对相同字符串运算值相同)。

优点比较明显:

  1. 保证数据库内用户的密码信息安全
  2. 在传输过程中只能截取到用户的密文,该密文被MD5加密后无论如何也不能破解
  3. 简单高效,执行以及编码难度都不大,各种语言都提供MD5支持,开发快​​​​​​​​​​​​​​

4.使用非对称加密(RSA加密)

使用RSA密钥对,前端保留公钥文件,服务器后端保留私钥文件,每次登录时,前端使用公钥对密码进行加密,后端使用私钥解密。

不管在什么协议之下,可以看到实际发送的HTTP/HTTPS报文在MD5处理后是这样的:

这样就安全了吗???

不是的。因为攻击者并不一定要获取到你的密码明文,如果直接截获你的密码密文,然后发送给服务器不是一样可以登录吗?因为数据库里的不也是MD5(password)的一样的密文吗?HTTP请求被伪造,一样可以登录成功。

5.加上Token令牌 / 验证码

  • 在用户登录之前,服务器缓存生成随机的验证字段(设置有效时间),并发送给客户端。
  • 当客户端用户输入完账号信息,点击登录后,把这个字段一并传给服务器,用于校验。
  • 校验完成后,服务端删除缓存中的验证字段。

每次从服务器中获取认证的token,确实能保证HTTP请求是由前端传回来的了,因为token在每次登陆后都会删除并被重置,会导致黑客尝试重放账号密码数据信息来登陆的时候导致无法成功登陆。

总而言之,就是我拿到了账号以及密码的密文也登陆不了,因为,如果请求不包含后台认证的令牌token,是个非法请求。

总结

低配版用户安全:只对密码进行简单的MD5加密后传给后台。攻击者压根不需要破解出密码的明文,只需要用它截取到的用户名和MD5加密后的密码作为参数然后直接调你网站的登录接口就好了,因为通常登录接口都是完全暴露的(即任何人都可以调用),校验通过后攻击者拿到授权令牌,接下来就可以为所欲为了。

中配版用户安全:非对称加密。使用RSA密钥对,前端保留公钥文件,服务器后端保留私钥文件,每次登录时,前端使用公钥对密码进行加密,后端使用私钥解密,乍一看,这个应该挺安全了,毕竟使用公钥加密后,每次加密后得到的字符串都是不一样的;但是只是不一样,并不是不能用!如果攻击者拿着这个用户名和公钥加密后的密码直接调用你的登录接口,一样能登录成功,并获得授权令牌。
高配版用户安全:Token令牌。用户每次登录时,由服务端生成一个随机密钥对,将公钥返回给前端,私钥保存到服务器,并设置该密钥对的有效期为30分钟(有效时间大家随意),用户登录的时候,要求前端对用户的明文密码进行公钥加密后传给后端,然后后端用私钥对密码进行解密,然后与数据库保存的密码进行匹配,登录成功之后,服务器立即清除这个密钥对。这样即使攻击者拦截到了加密后的密码,并用这个加密后的密码再次伪造登录,也无法成功。

6.防止数据篡改、数据伪造

当请求路由到黑客这边的时候,截获数据包,然后也不需要登录,反正账号密码都是对的,token也是对的,那么把数据包的字段改改,搞破坏就可以了。

如何解决可以看这篇:

HTTPS 的加密过程 详解-CSDN博客

 “数字指纹“是HTTPS能确保数据完整性和防篡改的根本原因。(它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的内容信息其摘要必定一致。)

“数字签名”保证消息不会被冒充、不会被整个替换。

5.参考

原文链接:https://blog.csdn.net/weixin_42023666/article/details/89706659

原文链接:面试官:设计一个安全的登录都要考虑哪些?我一脸懵逼。。-CSDN博客

每天进步一......
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端面试:你的项目中用户密码存储如何保证安全
TENET_T的博客
01-24 1003
在前端面试中,密码加密的一系列问题可能会在问项目相关的时候涉及到,下面是模拟情景:面试官:你的项目中用户密码是明文存储吗?回答:为了避免数据泄露导致的安全问题,用户密码一般采用不可逆向的hash函数加密后存储。常见的哈希算法有:MD5、SHA-1、SHA-256、SHA-512等。面试官:使用hash加密后的密码就一定安全吗?应该如何增强安全性呢?
KeePass 密码安全管理系统 v1.36
10-09
**KeePass 密码安全管理系统 v1.36** 是一款专为个人和企业设计的强大密码管理工具,旨在提供一种高效且安全的方式来存储和管理各种账号密码。它允许用户将所有的登录信息集中存储在一个加密的数据库中,大大简化了...
Java后端如何保证用户注册登录接口的安全性之用户登录
weixin_42023666的博客
07-18 4609
用户登录接口的设计,首先要考虑的是防止用户账号被暴力破解,常用的是使用谷歌图形验证码,同时还需要对用户每天的“连续”登录错误次数进行限制,假设一个账号用户每天连续登陆的错误次数是十次,那么当用户第十一次输入错误时,就应该锁住当前用户的账户。但是我们真正的目的是为了保证用户账号安全,屏蔽攻击者的恶意调用的同时,又要保证真实用户的正常使用,此时就应该提供重置登录密码的操作,密码重置成...
如何安全的保存密码?
叁滴水 的博客
08-25 2774
鉴于社工库层出不穷,多种多样收集用户信息的方式。前几日,我还发现,我之前用过的QQ密码,竟然明文存在一个信息查询系统中。为此感到很是震惊。闲来无事,思考一个问题,作为开发人员,如何安全的保存用户密码呢? 带着问题,探讨下密码如何更加安全的保存,此,为笔者目前经验而已,菜鸟一个,有更好的想法,希望可以分享给我。
蓝色大气账号密码登录和手机号码验证登录切换页面模板
07-12
本资源提供的是一款蓝色大气的账号密码登录与手机号码验证登录切换页面模板,这对于开发高效、用户友好的登录界面至关重要。 首先,我们来讨论账号密码登录机制。这种登录方式是最常见的,通常包括用户输入用户名...
漂亮用户登录注册
08-20
6. **用户体验**:提供记住密码、自动填充、一键登录(如通过社交账号登录)等功能,提升用户体验。 7. **接口设计**:如果系统需要与其他服务集成,如发送验证邮件或短信,需要设计相应的API接口。 8. **测试**:...
java web中使用cookie记住用户账号密码
08-31
在Java Web开发中,实现“记住用户名和密码”的功能通常涉及到...通过以上步骤,Java Web应用就可以实现记住用户账号密码的功能,同时兼顾安全性。在实际项目中,还需要结合具体的业务场景和安全策略进行调整和优化。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 309
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 944
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 575
一站式云安全托管限时试用 开启全能高效攻防
防火墙--内容安全
banliyaoguai的博客
07-20 1202
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
服务攻防-框架安全(漏洞复现)
m0_74402888的博客
07-21 553
Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315。运行dockers容器。
防火墙之内容安全过滤技术篇
qq_67758645的博客
07-19 645
IMAP是一种在线协议,它不用将邮件下载到本地,可以在多台支持IMAP协议的设备上同时进行文件的操作,它会将用户的操作同步到服务器上,实现邮件的共享和同步。而IMAP协议支持双向通信,用户可以在不同的设备上对邮件进行标记、移动、删除等操作,这些操作会实时同步到服务器上,确保邮件状态的一致性。IMAP允许邮件保留在服务器上,用户可以在任何支持IMAP的设备上访问这些邮件,实现邮件的同步和共享。可以执行的动作 --- 告警,阻断,按权重操作 -- 我们可以给每个关键字设置权重值,之后根。(一定时间后会删除)
nginx的配置:TLSv1 TLSv1.1 被暴露不安全
keyboard专栏
07-22 282
要在 Nginx 配置中禁用不安全的 SSL 协议(如 TLSv1 和 TLSv1.1),并仅启用更安全的协议(如 TLSv1.2 和 TLSv1.3),您可以更新您的 Nginx 配置文件。这样,您的 Nginx 服务器将只允许更安全的 TLSv1.2 和 TLSv1.3 协议,并且禁用不安全的 TLSv1 和 TLSv1.1。
探究大语言模型(LLM)漏洞和安全优秀实践
java_cjkl的博客
07-21 1075
你可能已听说过LLM强势亮相,至少ChatGPT就是代表。大语言模型(LLM)指语言处理模型。这类模型经过训练,可以执行各种各样的语言任务:翻译、文本生成和问题回答等。有几个LLM家族和架构,最著名的是GPT(生成式预训练Transformer)。每种 LLM都有各自的特定功能,但本文侧重介绍LLM普遍固有的安全问题。随着越来越多的公司集成LLM以增强用户体验或简化和加速内部流程,这种类型的集成特有的新漏洞随之出现。
安全防御:双机热备
AXDRXS的博客
07-19 1416
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断.
防火墙内容安全综合实验
m0_74256660的博客
07-19 533
2,我们需要针对办公区用户进行上网行为管理,要求进行URL过滤,要求在上班时间仅能访问教育/科研类,搜索/门户类网站,以及一个www.example.com/working相关URL都可以访问。1,假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。3,通过DNS过滤,实现办公区仅能使用一个域名访问公网发HTTP服务器,另一个不行。
等保测评与供应链安全:确保整个生态链的安全无虞
A526847的博客
07-24 442
通过关注第三方服务提供商的安全管理、建立全面的评估管理体系、实施动态防护机制、加强数据安全保护以及建立合规审计机制等措施,可以显著提升整个供应链的安全水平。以绿盟科技为例,该公司通过组织机构的供应链安全建设、对供应商的安全评估及检查、产品技术能力建设以及漏洞应急能力建设等多方面的努力,成功实现了供应链安全的全方位治理。等保测评是国家信息安全等级保护制度的重要组成部分,旨在通过科学的方法和标准,对信息系统的安全保护状况进行评估,确保信息系统达到相应的安全保护等级要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值