2
我們正在開發一個需要安全用戶身份驗證的GWT網絡應用程序。我們有可能通過傳真向用戶提供憑據。所以我們可以使用預先分享的祕密。我們不可能在這個應用程序中使用ssl或https。使用預共享密鑰進行身份驗證
我想知道什麼是更安全的方式來存儲傳遞到服務器上並驗證用戶;我懷疑是否應該兩次散列密碼?
A
回答
3
如果無法進行加密,則應在客戶端散列密碼(與服務器提供的隨機鹽一起醃製)並比較得到的散列值。
這種方法具有兩個優點:
- 散列值是不同的每個登錄
- 密碼明文永遠不會發送。
然而,沒有加密和適當的認證,會話劫持和此類攻擊是微不足道的。
請注意,有沒有辦法讓這個安全性足以襯托出有能力的惡意方的任何攻擊企圖沒有某種形式在HTTP之上的加密/ authentiaction層,所以它可能是最好的不要給用戶任何虛假的安全感,mmkay?
「讓我們只使登錄儘可能安全」中的最大問題是會話側面攻擊是沒有加密的微不足道的。 Sidejacking(如Wikipedia定義):
會議sidejacking,其中攻擊者使用數據包嗅探閱讀兩方之間的網絡流量竊取會話cookie。許多網站對登錄頁面使用SSL加密,以防止攻擊者看到密碼,但一旦通過身份驗證,就不會對網站的其他部分使用加密。這使攻擊者可以讀取網絡流量,攔截所有提交給服務器的數據或客戶端查看的網頁。由於這些數據包含會話cookie,因此即使密碼本身不受影響,它也允許他冒充受害者。[3]不安全的Wi-Fi熱點特別容易受到攻擊,因爲任何共享網絡的人通常都能讀取其他節點和接入點之間的大部分網絡流量。
相關問題
- 1. 使用Django進行HMAC身份驗證 - 共享密鑰
- 2. 從javascript發送一個共享密鑰進行身份驗證
- 3. 共享/家庭和OpenLDAP的SSH密鑰身份驗證失敗
- 4. Java - 使用公鑰和密碼進行身份驗證 - j2ssh
- 5. 如何使用API密鑰對GitHub進行身份驗證?
- 6. 如何使用API密鑰進行身份驗證 - Django Tastypie
- 7. 使用API密鑰進行Urllib2身份驗證
- 8. 貓鼬使用密鑰文件進行身份驗證
- 9. django1.8 api - 如何使用密鑰進行身份驗證
- 10. Node.js:使用唯一公鑰對客戶端進行身份驗證(與Github SSH密鑰身份驗證類似)
- 11. 使用共享屬性進行身份驗證驗證安全嗎?
- 12. 如何在Web API中使用Api密鑰進行使用表單身份驗證的服務身份驗證
- 13. 使用PPK密鑰和密碼進行多因素身份驗證(非密碼)
- 14. 應用程序身份驗證密鑰
- 15. 帶密鑰的身份驗證用戶
- 16. 使用sftp私鑰和公鑰進行身份驗證
- 17. 使用私鑰和公鑰進行API身份驗證
- 18. 在powershell https請求中使用pem證書和密鑰進行身份驗證
- 19. 通過SSH密鑰進行服務器身份驗證失敗
- 20. 在共享tomcat中進行身份驗證?
- 21. Kerberos身份驗證密鑰表KVNO
- 22. Cookie或RESTful密鑰的身份驗證?
- 23. Swift Api密鑰身份驗證
- 24. 與設計共享身份驗證
- 25. Web服務的共享身份驗證
- 26. Alfresco +與LDAP身份驗證共享+ SSO
- 27. ASP.NET網站身份驗證Cookie共享
- 28. Google+集成,身份驗證和共享
- 29. 用私鑰使用Paramiko Transport(channel)進行身份驗證
- 30. 使用NSURLSession進行「需要身份驗證」。用戶/密鑰正確
爲什麼SSL和HTTPS是一個禁忌? – Kimvais 2012-08-14 18:27:31
這只是因爲我們認爲它在應用程序設計上需要一些改變;不是嗎? – Ehsan 2012-08-15 14:54:29