2
我们正在开发一个需要安全用户身份验证的GWT网络应用程序。我们有可能通过传真向用户提供凭据。所以我们可以使用预先分享的秘密。我们不可能在这个应用程序中使用ssl或https。使用预共享密钥进行身份验证
我想知道什么是更安全的方式来存储传递到服务器上并验证用户;我怀疑是否应该两次散列密码?
A
回答
3
如果无法进行加密,则应在客户端散列密码(与服务器提供的随机盐一起腌制)并比较得到的散列值。
这种方法具有两个优点:
- 散列值是不同的每个登录
- 密码明文永远不会发送。
然而,没有加密和适当的认证,会话劫持和此类攻击是微不足道的。
请注意,有没有办法让这个安全性足以衬托出有能力的恶意方的任何攻击企图没有某种形式在HTTP之上的加密/ authentiaction层,所以它可能是最好的不要给用户任何虚假的安全感,mmkay?
“让我们只使登录尽可能安全”中的最大问题是会话侧面攻击是没有加密的微不足道的。 Sidejacking(如Wikipedia定义):
会议sidejacking,其中攻击者使用数据包嗅探阅读两方之间的网络流量窃取会话cookie。许多网站对登录页面使用SSL加密,以防止攻击者看到密码,但一旦通过身份验证,就不会对网站的其他部分使用加密。这使攻击者可以读取网络流量,拦截所有提交给服务器的数据或客户端查看的网页。由于这些数据包含会话cookie,因此即使密码本身不受影响,它也允许他冒充受害者。[3]不安全的Wi-Fi热点特别容易受到攻击,因为任何共享网络的人通常都能读取其他节点和接入点之间的大部分网络流量。
相关问题
- 1. 使用Django进行HMAC身份验证 - 共享密钥
- 2. 从javascript发送一个共享密钥进行身份验证
- 3. 共享/家庭和OpenLDAP的SSH密钥身份验证失败
- 4. Java - 使用公钥和密码进行身份验证 - j2ssh
- 5. 如何使用API密钥对GitHub进行身份验证?
- 6. 如何使用API密钥进行身份验证 - Django Tastypie
- 7. 使用API密钥进行Urllib2身份验证
- 8. 猫鼬使用密钥文件进行身份验证
- 9. django1.8 api - 如何使用密钥进行身份验证
- 10. Node.js:使用唯一公钥对客户端进行身份验证(与Github SSH密钥身份验证类似)
- 11. 使用共享属性进行身份验证验证安全吗?
- 12. 如何在Web API中使用Api密钥进行使用表单身份验证的服务身份验证
- 13. 使用PPK密钥和密码进行多因素身份验证(非密码)
- 14. 应用程序身份验证密钥
- 15. 带密钥的身份验证用户
- 16. 使用sftp私钥和公钥进行身份验证
- 17. 使用私钥和公钥进行API身份验证
- 18. 在powershell https请求中使用pem证书和密钥进行身份验证
- 19. 通过SSH密钥进行服务器身份验证失败
- 20. 在共享tomcat中进行身份验证?
- 21. Kerberos身份验证密钥表KVNO
- 22. Cookie或RESTful密钥的身份验证?
- 23. Swift Api密钥身份验证
- 24. 与设计共享身份验证
- 25. Web服务的共享身份验证
- 26. Alfresco +与LDAP身份验证共享+ SSO
- 27. ASP.NET网站身份验证Cookie共享
- 28. Google+集成,身份验证和共享
- 29. 用私钥使用Paramiko Transport(channel)进行身份验证
- 30. 使用NSURLSession进行“需要身份验证”。用户/密钥正确
为什么SSL和HTTPS是一个禁忌? – Kimvais 2012-08-14 18:27:31
这只是因为我们认为它在应用程序设计上需要一些改变;不是吗? – Ehsan 2012-08-15 14:54:29