0
我在哪裏工作,單點登錄到其他應用程序是所有的憤怒。但是,在處理我繼承的一些代碼時,我發現我們的第三方(一家大公司)使用密鑰,時間戳和用戶ID的組合來驗證其系統。所有這些信息都通過SSL通過查詢字符串(MD5散列)傳遞。我的同事和我發現了這一點,因爲我們已經知道這個(開源)SSO解決方案是如何工作的,所以我們能夠簡單地生成我們自己的查詢字符串並在沒有密碼的情況下登錄到任何人的賬戶!不用說,我們立即壓縮了這個SSO功能。當通過SSO進行身份驗證時,祕密密鑰或私鑰密鑰是否安全?
我不是以任何方式安全專家,但用這種方式,不是像這種令人難以置信的危險的祕密密鑰?特別是因爲第三方的SSO「連接器」是開源的。他們建議每隔一段時間更換一次鑰匙,但正如我所說,這似乎太容易強行進入;猜測一個密碼等於訪問每個人的帳戶!請讓我知道你的想法和意見,啓發我:)
md5不是一種加密方法。 – rook
嘿車,woops並不意味着暗示!這實際上讓我更加關注它。 –
我假定您的私鑰和公鑰使用512位RSA加密。除非兩把鑰匙完全暴露在公衆面前,否則打破鑰匙並非易事。 – Raptor