登录认证模块之密文对比认证

密文对比认证

介绍

• 在系统登录时密码加密正确流程是先将用户名和密码发送到服务器,
• 服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对,
• 如果加密值相同,则判定用户提交密码正确。

危害

• 有些网站系统的密码加密流程是在前台浏览器客户端先对密码进行Hash加密后传输给服务器并与数据库加密值进行对比,
• 如果加密值相同,则判定用户提交密码正确以此流程会泄漏密码加密方式,导致出现安全隐患。
• 密码加密方式泄露

原理流程图

登录测试

• 抓取登录处的数据报，发现密码是加密的

• 对密码字段进行MD5加密

• 使用加密的进行尝试，发现正确的密码

• 根据密码字典的顺序，查找正确的密码

在这里插入图片描述

防御方法

• 将密码加密过程及密文比对过程放置在服务器后台执行。
• 对系统用户登录模块增加有效的验证码机制。
• 对密码加密数据进行加盐处理存储。

摘抄

不要嘲笑那些比你们拼命努力的人，

也不要理会那些嘲笑你拼命努力的人。

– 松下幸之助