2011-12-15 263 views
1

当我们登录到Gmail这样的网站时,我们给出了我们的密码,现在Gmail是一个Https网站,因此在运输过程中,密码不能被Man在中间攻击中嗅探到,如果有SSL MITM,那么密码以明文形式出现。登录时加密密码

是否存在一种机制,在登录时加密密码,即使SSL MITM攻击者只能获得加密密码。

这将是使用javascripts的客户端功能,对吧?

但客户端可以选择阻止或修改脚本。

或者有没有其他的机制?

回答

0

您可以在浏览器/服务器上散列您的用户名和密码,然后在业务层比较散列。这将防止MITM攻击并允许BO验证凭证。

0

你可以使用Javascript,但是你(1)必须安全地将Javascript获得给用户并且(2)交换密钥来执行加密。

虽然在保护密码方面有一定价值,但如果SSL会话遭到破坏,MITM可以劫持会话和所有数据,或提示用户更改密码并收集密码。

您可以使用OpenId,但只能将验证问题移到OpenId服务器。您仍然需要一种方法将用户的秘密传送到服务器。

因此,一般来说,通过SSL建立一个新的,经过身份验证的会话cookie的明文密码是最好的选择。其他任何东西都可以减少到你的信号共享秘密问题,或者网络浏览器没有任何东西可以使用SSL。

+0

银行网站是否使用任何此类保护?还是完全依赖于SSL? – 2011-12-15 05:09:22