1
当我们登录到Gmail这样的网站时,我们给出了我们的密码,现在Gmail是一个Https网站,因此在运输过程中,密码不能被Man在中间攻击中嗅探到,如果有SSL MITM,那么密码以明文形式出现。登录时加密密码
是否存在一种机制,在登录时加密密码,即使SSL MITM攻击者只能获得加密密码。
这将是使用javascripts的客户端功能,对吧?
但客户端可以选择阻止或修改脚本。
或者有没有其他的机制?
Q
登录时加密密码
A
回答
0
您可以在浏览器/服务器上散列您的用户名和密码,然后在业务层比较散列。这将防止MITM攻击并允许BO验证凭证。
0
你可以使用Javascript,但是你(1)必须安全地将Javascript获得给用户并且(2)交换密钥来执行加密。
虽然在保护密码方面有一定价值,但如果SSL会话遭到破坏,MITM可以劫持会话和所有数据,或提示用户更改密码并收集密码。
您可以使用OpenId,但只能将验证问题移到OpenId服务器。您仍然需要一种方法将用户的秘密传送到服务器。
因此,一般来说,通过SSL建立一个新的,经过身份验证的会话cookie的明文密码是最好的选择。其他任何东西都可以减少到你的信号共享秘密问题,或者网络浏览器没有任何东西可以使用SSL。
相关问题
- 1. MongoMetaRecord MegaProtoUser登录时不密码密码
- 2. 登录代码将只使用md5加密密码登录
- 3. 密码加密登录问题
- 4. VB.net登录控制加密密码
- 5. 登录加密密码进行比较
- 6. Java登录不读取加密密码
- 7. 密码加密和facebook登录Spring MVC
- 8. TDS7登录数据包,加密密码
- 9. PHP安全登录 - 密码加密
- 10. 秘密登录密码 - Android
- 11. 启用无密码登录密码
- 12. 加密在登录时比较哈希和盐渍密码
- 13. C#加密登录
- 14. MySQL密码登录码?
- 15. 登录JavaScript - 密码编码
- 16. 如何解密通过登录控制asp.net登录时存储在数据库中的加密密码c#
- 17. 登录网站登录名和密码
- 18. 每次在登录时解密时生成一个新密码
- 19. iOS Facebook无密码登录
- 20. CloudKit认证登录/密码
- 21. 登录和密码活动
- 22. 密码SHA散列登录
- 23. 验证与登录/密码
- 24. PHP登录(密码)验证
- 25. Sqlplus无密码登录
- 26. Symfony2.0登录,密码无效
- 27. Typo3登录密码哈希
- 28. Facebook登录重置密码
- 29. Docker Hub无密码登录
- 30. 无密码SSH登录
银行网站是否使用任何此类保护?还是完全依赖于SSL? – 2011-12-15 05:09:22