1
如果您沒有https(ssl),如何安全地傳輸密碼?如果您沒有https(ssl),如何安全地傳輸密碼?
A
回答
4
摘要式身份驗證提供了一些保護,尤其是如果你有一個很好的短nonce生命週期,並且很容易實現。這使得它適用於某些情況下,密碼是您需要防止窺探的唯一方法。有關更多信息,請參閱RFC 2617。
它仍然不如HTTPS作爲安全雖然。
+0
很好用的摘要認證可以很好地保護密碼傳輸,但是在服務器上強制使用明文存儲密碼,因爲考慮到人們傾向於重複使用用戶名和密碼,所以密碼數據庫應該被泄露,這是非常可怕的事情... – 2011-03-24 04:08:44
+0
@Bruno,這根本不是真的。您只需要存儲用戶名+「:」+ domain +「:」+密碼的MD5,並且域由您設置(因此不應與存儲在另一個系統中的相同MD5匹配)。這是一個共享密鑰的摘要,然後在傳輸中再次消解。獲得這個將允許人們訪問有問題的系統,但不會給他們原始用戶/密碼。 – 2011-03-24 09:54:49
+0
是的,我錯了,密碼可以以不可逆的方式存儲,仍然是存儲密碼的最危險的方法之一。 – 2011-03-24 14:12:45
1
SSL肯定是推薦和還有幾個廉價(或免費)來源獲得SSL證書。但是,如果絕對不能使用SSL,則可以使用像http://www.jcryption.org/這樣的JavaScript加密庫。請記住:
jCryption在它的當前狀態沒有 替代SSL,因爲 沒有認證,但主要目標jCryption的 應該是一個非常容易和 快速安裝插件,它提供了一個 基本的安全級別。
2
Secure Remote Password協議是專爲這些情況而設計的。有一些JavaScript實現可以在HTTP環境中適用。但請記住,這可以從別人從別人與交通插手聽被動,但不能保護,因爲他們可以只發送給您的用戶腐敗的JavaScript來代替。
也請記住,即使客戶端密碼不能被破壞一個他們進行身份驗證,他們將仍然容易受到中間人攻擊,除非你採取保護他們的照顧,例如使用SRP Hermetic
Clipperz應該是一個很好的JavaScript庫SRP適合你的目的。
相關問題
- 1. 使用HTTPS和cookies安全地傳輸密碼
- 2. 安全地傳輸和存儲密碼
- 3. 如何安全地加密密碼
- 4. 如何安全地存儲沒有哈希的密碼?
- 5. 加密PDF的安全性如何? (沒有SSL證書)
- 6. SSL和WCF傳輸安全
- 7. Greasemonkey如何安全地傳輸數據?
- 8. 如何安全地傳輸文件
- 9. 安全地通過bash傳遞密碼
- 10. 沒有密碼的本地Hadoop安裝有多安全?
- 11. 加密WCF傳輸安全
- 12. 沒有有效的SSL證書,HTTPS連接是否安全?
- 13. HTTPS解碼,SSL解密
- 14. 將密碼從C#安全地傳輸到Java應用程序
- 15. 如何安全傳輸
- 16. 是php://輸入安全嗎?如果沒有,如何保護它?
- 17. 密碼存儲和安全密碼傳輸
- 18. 安全地處理密碼
- 19. 如果您更改密碼,如何使用密碼?
- 20. 如何在您的應用程序中安全地處理密碼
- 21. 如何安全地存儲加密密碼
- 22. 使用SSL傳輸/消息安全
- 23. 如果找不到密鑰,如何安全地訪問actionContext.Request.Headers.GetValues?
- 24. 如何要求一個有效的用戶名和密碼使用WCF(沒有傳輸安全)
- 25. 如何安全地保存用戶名/密碼(本地)?
- 26. 如何安全地存儲註冊/登錄信息,如密碼?
- 27. 沒有手動密碼輸入的acegi安全登錄
- 28. 沒有驗證的WCF傳輸安全
- 29. 安全的密碼傳輸通過未加密的TCP/IP
- 30. https的安全性如何?
精心製作的plox? – Mehrdad 2011-03-22 01:21:05
還闡述了爲什麼你不能擁有https。 – Thilo 2011-03-22 01:24:43
'plox'?真的嗎? : - \ – corsiKa 2011-03-22 01:28:31