安全なユーザー認証を必要とするGWTWebアプリケーションに取り組んでいます。ファックスでユーザーにクレデンシャルを提供する可能性があります。したがって、事前共有シークレットを使用できます。このアプリでSSLまたはhttpsを使用する可能性はありません。
パスをサーバーに保存してユーザーを認証するためのより安全な方法は何でしょうか。パスワードを2回ハッシュする必要があると思いますか?
質問する
431 次
1 に答える
3
暗号化を行うことができない場合は、クライアント側でパスワードをハッシュし (サーバーによって提供されるランダムなソルトでソルトされます)、結果のハッシュを比較する必要があります。
このアプローチには、次の 2 つの利点があります。
- ハッシュ値はログインごとに異なります
- パスワードが平文で送信されることはありません。
ただし、暗号化と適切な認証がなければ、セッション ハイジャックやそのような攻撃は取るに足らないものです。
http の上にある種の暗号化/認証レイヤーがなければ、十分に有能な悪意のある者の攻撃の試みを阻止するのに十分なほどこれを安全にする方法はないことに注意してください。偽のセキュリティの、うーん?
「ログインをできるだけ安全にしましょう」の最大の問題は、セッションのサイドジャッキング攻撃が暗号化なしではかなり些細なことです。サイドジャッキング (ウィキペディアで定義) とは:
攻撃者がパケット スニッフィングを使用して 2 つのパーティ間のネットワーク トラフィックを読み取り、セッション Cookie を盗むセッション サイドジャッキング。多くの Web サイトでは、ログイン ページに SSL 暗号化を使用して、攻撃者がパスワードを見られないようにしていますが、認証されたサイトの残りの部分には暗号化を使用していません。これにより、ネットワーク トラフィックを読み取れる攻撃者は、サーバーに送信されるすべてのデータまたはクライアントが表示する Web ページを傍受できます。このデータにはセッション Cookie が含まれているため、パスワード自体が侵害されていなくても、被害者になりすますことができます[3]。セキュリティで保護されていない Wi-Fi ホットスポットは特に脆弱です。ネットワークを共有している人なら誰でも、他のノードとアクセス ポイント間のほとんどの Web トラフィックを読み取ることができるからです。
于 2012-08-14T18:49:06.153 に答える