在互聯(lián)網(wǎng)應(yīng)用中营密,身份登記(注冊(cè))和身份認(rèn)證(登錄)這兩個(gè)功能的關(guān)鍵是密碼械媒。使用密碼自然是為了安全。如果你開(kāi)發(fā)的互聯(lián)網(wǎng)應(yīng)用沒(méi)能正確的使用并處理密碼,將會(huì)給用戶(hù)造成一定的安全隱患纷捞。要正確的使用并處理密碼痢虹,首先需要了解用戶(hù)為什么要設(shè)置密碼,設(shè)置密碼是為了防誰(shuí)主儡?
用戶(hù)設(shè)置密碼是為了防誰(shuí)
有些男士在雙十一等節(jié)日前夕修改支付寶或銀行卡的密碼可能是為了防老婆奖唯。
(哈哈……不要怪我說(shuō)出了你的心聲……)
對(duì)于系統(tǒng)來(lái)說(shuō),用戶(hù)名和密碼是用來(lái)做身份認(rèn)證(登錄)的糜值。只要輸入了正確的用戶(hù)名和密碼丰捷,系統(tǒng)就認(rèn)為那個(gè)在計(jì)算機(jī)前坐著的就是用戶(hù)本人。所以用戶(hù)的密碼是為了防除了用戶(hù)自己之外的“所有人”寂汇。
有幾類(lèi)特殊的“所有人”需要列一下:
- 和用戶(hù)在同一局域網(wǎng)的人病往;
因?yàn)樗麄兛梢酝ㄟ^(guò)抓取局域網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包,而窺視用戶(hù)與服務(wù)器之間交互的任何數(shù)據(jù)健无。并且還可以模仿用戶(hù)反復(fù)多次向服務(wù)器發(fā)送用戶(hù)之前發(fā)送過(guò)的數(shù)據(jù)包荣恐。 - 為用戶(hù)提供網(wǎng)絡(luò)服務(wù)的電信運(yùn)營(yíng)商;
因?yàn)橛脩?hù)與服務(wù)器通信過(guò)程中累贤,所有數(shù)據(jù)都要經(jīng)過(guò)電信運(yùn)營(yíng)商叠穆,他們可以做的事并不比“和用戶(hù)在同一局域網(wǎng)的人”少。 - 用戶(hù)與服務(wù)器之間的所有路徑器臼膏;
和電信運(yùn)營(yíng)商一樣硼被,用戶(hù)與服務(wù)器交互的所有數(shù)據(jù),也都逃不過(guò)這些路由器的眼睛渗磅。 - 用戶(hù)訪問(wèn)的那臺(tái)服務(wù)器嚷硫;
對(duì)用戶(hù)來(lái)說(shuō)他訪問(wèn)的那臺(tái)服務(wù)器和那臺(tái)服務(wù)器背后的公司同樣不可信,并且那臺(tái)服務(wù)器還可能會(huì)被黑客攻破始鱼。
作為開(kāi)發(fā)者需要保證在身份登記與身份認(rèn)證過(guò)程中仔掸,用戶(hù)輸入的密碼不會(huì)被漏洞給除用戶(hù)本人之外的其他任何人(包括用戶(hù)訪問(wèn)的那臺(tái)服務(wù)器)。除此之外医清,還需要防重放攻擊起暮。
安全方案
- 為了不讓“局域網(wǎng)內(nèi)的用戶(hù)”,“電信運(yùn)營(yíng)商”会烙,“各跳路由器”负懦,“系統(tǒng)服務(wù)器”看到用戶(hù)的密碼,用戶(hù)的密碼不能明文提交柏腻。
- 為了防重放攻擊纸厉,用戶(hù)每次提交給服務(wù)器的密碼都不能相同。
安全方案實(shí)踐
身份登記
- 設(shè) pwd 為用戶(hù)的密碼明文五嫂,username 為用戶(hù)的用戶(hù)名明文
- 客戶(hù)端生成隨機(jī)數(shù)(最好是guid): token
- 客戶(hù)端計(jì)算 password = sha256_hmac(pwd,token)
- 客戶(hù)端做注冊(cè)請(qǐng)求颗品,把 username ,password 和 token 提交到服務(wù)器端
- 服務(wù)器端生成隨機(jī)數(shù)(最好是guid): salt
- 服務(wù)器端計(jì)算 spassword = sha256_hmac(password ,salt)
- 服務(wù)器端把 username、 spassword 抛猫、token 和 salt 存到數(shù)據(jù)庫(kù)中
身份認(rèn)證
- 設(shè) pwd 為用戶(hù)的密碼明文蟆盹,username 為用戶(hù)的用戶(hù)名明文
- 客戶(hù)端做預(yù)登錄請(qǐng)求,把 username 為參數(shù)提交給服務(wù)器端
- 服務(wù)器端根據(jù) username 從數(shù)據(jù)庫(kù)中查詢(xún)得到 spassword 闺金、token 和 salt
- 服務(wù)器端生成隨機(jī)數(shù)(最好是guid): stoken
- 服務(wù)器端把 token逾滥、salt 和 stoken 返回給客戶(hù)端
- 客戶(hù)端計(jì)算 spwd = sha256_hmac(sha256_hmac(sha256_hmac(pwd ,token), salt), stoken)
- 客戶(hù)端做登錄請(qǐng)求把 username 和 spwd 提交到服務(wù)器端
- 服務(wù)器端做計(jì)算 sspwd = sha256_hmac(spassword,stoken)
- 服務(wù)器端比較 sspwd 與spwd 是否相等,以確定是身份認(rèn)證是否成功
