登录认证模块之密文对比认证
密文对比认证
介绍
- 在系统登录时密码加密正确流程是先将用户名和密码发送到服务器,
- 服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对,
- 如果加密值相同,则判定用户提交密码正确。
危害
- 有些网站系统的密码加密流程是在前台浏览器客户端先对密码进行Hash加密后传输给服务器并与数据库加密值进行对比,
- 如果加密值相同,则判定用户提交密码正确以此流程会泄漏密码加密方式,导致出现安全隐患。
- 密码加密方式泄露
原理流程图
登录测试
- 抓取登录处的数据报,发现密码是加密的
- 对密码字段进行MD5加密
- 使用加密的进行尝试,发现正确的密码
- 根据密码字典的顺序,查找正确的密码
在这里插入图片描述
防御方法
- 将密码加密过程及密文比对过程放置在服务器后台执行。
- 对系统用户登录模块增加有效的验证码机制。
- 对密码加密数据进行加盐处理存储。
摘抄
不要嘲笑那些比你们拼命努力的人,
也不要理会那些嘲笑你拼命努力的人。
– 松下幸之助