1
當我們登錄到Gmail這樣的網站時,我們給出了我們的密碼,現在Gmail是一個Https網站,因此在運輸過程中,密碼不能被Man在中間攻擊中嗅探到,如果有SSL MITM,那麼密碼以明文形式出現。登錄時加密密碼
是否存在一種機制,在登錄時加密密碼,即使SSL MITM攻擊者只能獲得加密密碼。
這將是使用javascripts的客戶端功能,對吧?
但客戶端可以選擇阻止或修改腳本。
或者有沒有其他的機制?
Q
登錄時加密密碼
A
回答
0
您可以在瀏覽器/服務器上散列您的用戶名和密碼,然後在業務層比較散列。這將防止MITM攻擊並允許BO驗證憑證。
0
你可以使用Javascript,但是你(1)必須安全地將Javascript獲得給用戶並且(2)交換密鑰來執行加密。
雖然在保護密碼方面有一定價值,但如果SSL會話遭到破壞,MITM可以劫持會話和所有數據,或提示用戶更改密碼並收集密碼。
您可以使用OpenId,但只能將驗證問題移到OpenId服務器。您仍然需要一種方法將用戶的祕密傳送到服務器。
因此,一般來說,通過SSL建立一個新的,經過身份驗證的會話cookie的明文密碼是最好的選擇。其他任何東西都可以減少到你的信號共享祕密問題,或者網絡瀏覽器沒有任何東西可以使用SSL。
相關問題
- 1. PHP安全登錄 - 密碼加密
- 2. VB.net登錄控制加密密碼
- 3. TDS7登錄數據包,加密密碼
- 4. 密碼加密登錄問題
- 5. Java登錄不讀取加密密碼
- 6. 祕密登錄密碼 - Android
- 7. 啓用無密碼登錄密碼
- 8. 加密在登錄時比較哈希和鹽漬密碼
- 9. C#加密登錄
- 10. 登錄JavaScript - 密碼編碼
- 11. 密碼登錄 - 如何?
- 12. Symfony2.0登錄,密碼無效
- 13. Typo3登錄密碼哈希
- 14. 無密碼SSH登錄
- 15. 默認登錄密碼
- 16. Rails僅密碼登錄
- 17. ASP.NET登錄,無效密碼
- 18. PHP登錄密碼問題
- 19. 驗證與登錄/密碼
- 20. 類別的登錄密碼
- 21. Docker Hub無密碼登錄
- 22. Facebook登錄重置密碼
- 23. 無密碼登錄FOSUserBundle Symfony3
- 24. 保存登錄密碼
- 25. Java SSH在登錄時更改密碼
- 26. 如何在從登錄表單發佈之前加密密碼?
- 27. TYPO3前端登錄創建加密密碼
- 28. 登錄彈出 - 加密用戶名密碼值
- 29. 加密在多個設備上使用的登錄密碼
- 30. 使用未加密的密碼登錄到Apache服務器?
銀行網站是否使用任何此類保護?還是完全依賴於SSL? – 2011-12-15 05:09:22