4
我正在構建一個需要註冊和登錄的網站。 由於我是新手開發Web,我想如果發送未加密的密碼到服務器是一個選項。 或者,你會收拾我,因爲我對密碼學一無所知?是否發送未加密的密碼是一個很好的實踐?
編輯:http://pastebin.com/nYcazcZq
A
回答
0
這是從來沒有好發送未加密的密碼。對於嚴重的網站,您應該使用https加密瀏覽器和服務器之間的流量。您通過購買安裝在Web服務器上的證書來實現這一點。
2
如果您的網站僅用於測試或在Intranet內部使用,那不是什麼大問題。
如果不是,我強烈建議您使用SSL。
如果您不能負擔證書,至少可以讓你的用戶可以選擇:使用OpenID
- 登錄(因爲大多數的OpenID提供商提供認證SSL);
- 使用摘要式身份驗證(它不會通過網絡明確發送密碼)進行登錄。
2
如果您的意思是從瀏覽器發送到您的服務器,那麼您需要使用https/ssl來加密連接,而不是密碼本身。另一方面,如果你正在談論存儲密碼明文,那麼是的,那也不好。您應該使用強鹽(每個用戶最好)和慢速算法對其進行哈希處理。
這個答案將進入更詳細的關於通過SSL發送密碼:Sending passwords over the web
您可以使用PHP的地穴哈希計算:http://php.net/manual/en/function.crypt.php
0
從不發送淨原始關鍵數據,使用SSL是最好的解決辦法,我認爲,也可以使用javascript加密器來加密客戶端的密碼並在服務器中解密,
1
請記住,即使您的服務沒有任何有價值的有效載荷,也可以保證許多用戶將使用與som使用的密碼相同更有價值,這意味着在您的一端違規或容易被攔截的密碼可能會造成傷害。即使這對用戶來說是不好的做法,但這是生活中不可避免的事實,所以實際上沒有任何情況下,公衆可以訪問的服務對用戶憑證負責。請使用SSL/https或OpenID(或其他外部託管的登錄管理方案,即使是Facebook:how to use facebook for user login on my website?),如果您是密碼保持者,請不要將它們作爲純文本保存在數據庫中。
相關問題
- 1. 最佳實踐 - 即使通過https發送密碼時也能加密密碼?
- 2. 我的代碼是否表現出很好的WPF實踐?
- 3. s3cmd與OpenPGP加密密鑰 - 這是一個密碼或密碼?
- 4. ASP.NET MVC發送郵件附件這是一個密碼加密的PDF文件
- 5. 什麼是加密/解密密鑰管理最佳實踐
- 6. 是否將未加密的密碼發佈到HTTPS服務器不安全?
- 7. iPhone是否提供了一個很好的加密API /服務提供者?
- 8. 這個程序是否通過互聯網在密碼中發送密碼?
- 9. 通過Internet發送未加密的密碼
- 10. 檢查使用bCrypt加密的密碼。是否需要通過電線發送密碼?
- 11. 這是一個很好的數據庫設計實踐嗎?
- 12. javax.mail.AuthenticationFailedException:未能連接,未指定密碼?但我知道密碼是好的
- 13. 發送IV加密與否?
- 14. 如何判斷密碼是否等於另一個密碼?
- 15. 這是一個很好的公共/密鑰登錄設置?
- 16. 這可能是一個很好的磁盤密集型程序
- 17. 未加密密碼的加密密碼用戶羣
- 18. 是否有一個很好的「Python約定和最佳實踐」總結?
- 19. 跨頁面發佈。在Asp.net中使用PreviousPage是一個很好的實踐嗎?
- 20. 如何保護加密密碼即使是最弱的一個?
- 21. 在通過HTTPS發送密碼之前是否需要散列密碼?
- 22. DPAPI用於加密的密碼是誰?
- 23. 什麼是用於Perl的最好的密碼加密和解密庫?
- 24. TLS在發送之前是否必須加密整個文件?
- 25. Nimbuzz是否加密?
- 26. 跨機器加密/解密是否否
- 27. PHP:這個密碼加密是否安全?
- 28. 這個密碼加密是否足夠安全?
- 29. 爲DDD中的每個服務類提供一個接口是否是一種很好的設計實踐?
- 30. 這是一個很好的實現gameloop
發送哪裏使用什麼?你能舉一個你正在做什麼的具體例子嗎? – 2011-06-11 08:55:00
這是我寫的代碼。您如何看到密碼在數據庫中被加密,但在客戶端和服務器之間沒有連接。我需要購買SSL證書嗎?如何和多少成本? – pythonFoo 2011-06-11 09:31:20
如果登錄已完成,我會在服務器和會話中存儲的信息之間進行檢查:它是否真的可以提高安全性? – pythonFoo 2011-06-11 09:33:39