2011-12-15 317 views
1

當我們登錄到Gmail這樣的網站時,我們給出了我們的密碼,現在Gmail是一個Https網站,因此在運輸過程中,密碼不能被Man在中間攻擊中嗅探到,如果有SSL MITM,那麼密碼以明文形式出現。登錄時加密密碼

是否存在一種機制,在登錄時加密密碼,即使SSL MITM攻擊者只能獲得加密密碼。

這將是使用javascripts的客戶端功能,對吧?

但客戶端可以選擇阻止或修改腳本。

或者有沒有其他的機制?

回答

0

您可以在瀏覽器/服務器上散列您的用戶名和密碼,然後在業務層比較散列。這將防止MITM攻擊並允許BO驗證憑證。

0

你可以使用Javascript,但是你(1)必須安全地將Javascript獲得給用戶並且(2)交換密鑰來執行加密。

雖然在保護密碼方面有一定價值,但如果SSL會話遭到破壞,MITM可以劫持會話和所有數據,或提示用戶更改密碼並收集密碼。

您可以使用OpenId,但只能將驗證問題移到OpenId服務器。您仍然需要一種方法將用戶的祕密傳送到服務器。

因此,一般來說,通過SSL建立一個新的,經過身份驗證的會話cookie的明文密碼是最好的選擇。其他任何東西都可以減少到你的信號共享祕密問題,或者網絡瀏覽器沒有任何東西可以使用SSL。

+0

銀行網站是否使用任何此類保護?還是完全依賴於SSL? – 2011-12-15 05:09:22