如果您没有https(ssl),如何安全地传输密码?如果您没有https(ssl),如何安全地传输密码?
回答
摘要式身份验证提供了一些保护,尤其是如果你有一个很好的短nonce生命周期,并且很容易实现。这使得它适用于某些情况下,密码是您需要防止窥探的唯一方法。有关更多信息,请参阅RFC 2617。
它仍然不如HTTPS作为安全虽然。
很好用的摘要认证可以很好地保护密码传输,但是在服务器上强制使用明文存储密码,因为考虑到人们倾向于重复使用用户名和密码,所以密码数据库应该被泄露,这是非常可怕的事情... – 2011-03-24 04:08:44
@Bruno,这根本不是真的。您只需要存储用户名+“:”+ domain +“:”+密码的MD5,并且域由您设置(因此不应与存储在另一个系统中的相同MD5匹配)。这是一个共享密钥的摘要,然后在传输中再次消解。获得这个将允许人们访问有问题的系统,但不会给他们原始用户/密码。 – 2011-03-24 09:54:49
是的,我错了,密码可以以不可逆的方式存储,仍然是存储密码的最危险的方法之一。 – 2011-03-24 14:12:45
SSL肯定是推荐和还有几个廉价(或免费)来源获得SSL证书。但是,如果绝对不能使用SSL,则可以使用像http://www.jcryption.org/这样的JavaScript加密库。请记住:
jCryption在它的当前状态没有 替代SSL,因为 没有认证,但主要目标jCryption的 应该是一个非常容易和 快速安装插件,它提供了一个 基本的安全级别。
Secure Remote Password协议是专为这些情况而设计的。有一些JavaScript实现可以在HTTP环境中适用。但请记住,这可以从别人从别人与交通插手听被动,但不能保护,因为他们可以只发送给您的用户腐败的JavaScript来代替。
也请记住,即使客户端密码不能被破坏一个他们进行身份验证,他们将仍然容易受到中间人攻击,除非你采取保护他们的照顾,例如使用SRP Hermetic
Clipperz应该是一个很好的JavaScript库SRP适合你的目的。
- 1. 使用HTTPS和cookies安全地传输密码
- 2. 如何安全地存储没有哈希的密码?
- 3. SSL和WCF传输安全
- 4. 如何安全地传输文件
- 5. 安全地通过bash传递密码
- 6. 没有密码的本地Hadoop安装有多安全?
- 7. 没有有效的SSL证书,HTTPS连接是否安全?
- 8. 将密码从C#安全地传输到Java应用程序
- 9. HTTPS解码,SSL解密
- 10. 如何安全传输
- 11. 是php://输入安全吗?如果没有,如何保护它?
- 12. 安全地处理密码
- 13. 如果您更改密码,如何使用密码?
- 14. 如何安全地存储加密密码
- 15. 如何要求一个有效的用户名和密码使用WCF(没有传输安全)
- 16. 没有验证的WCF传输安全
- 17. 没有手动密码输入的acegi安全登录
- 18. 如何安全地存储注册/登录信息,如密码?
- 19. 安全的密码传输通过未加密的TCP/IP
- 20. 如何安全地存储密钥?
- 21. 是否正在通过安全URL(SSL)从“中间人”攻击中安全地传递用户名和密码?
- 22. 您如何为您的HTTPS服务启用SSL会话?
- 23. Authlogic密码有多安全?
- 24. 如何使用不同的凭据(没有得到提示输入用户名/密码)安全地启动Powershell.exe?
- 25. 如何编写密码安全的类?
- 26. 如何使我的密码输入密码重置功能安全?
- 27. 如何通过REST呼叫安全地传递用户名和密码?
- 28. SSL post传输加密
- 29. 如何在游戏服务器上安全地保存密码?
- 30. 如何从AppleScript安全地请求密码?
精心制作的plox? – Mehrdad 2011-03-22 01:21:05
还阐述了为什么你不能拥有https。 – Thilo 2011-03-22 01:24:43
'plox'?真的吗? : - \ – corsiKa 2011-03-22 01:28:31