1
  1. ログイン データが暗号化された安全なログイン プロセスが必要です。
  2. ログインフォームのリプレイ攻撃を防ぎます。
  3. 同時に、パスワードを暗号化し、誰も解読できないようにしたい.

1.フォームデータをMD5できます。

2. ノンスを生成し、それをクライアント パスワードと一緒にハッシュできます。

3. DB に保存されているソルトを使用して、MD5(password|salt) のみを DB に保存できます。

ここで問題が発生します。1 と 2 については、MD5(password|nonce) をサーバーに送信しますが、確認用の元のパスワードがないため、承認できません。

1、2、3 を同時にアーカイブできますか?

4

2 に答える 2

2

1.と2.はHTTPS(SSL)を使用してください。アクティブおよびパッシブ攻撃、リプレイを防ぎ、パスワードを機密に保ちます。

3 の場合、特殊なパスワード ハッシュをユーザーごとのソルトと一緒に使用します。標準的な選択肢は、scrypt、bcrypt、および PBKDF2 です。詳細については少し調査してください。こことセキュリティに関する多くの関連する質問があります。SE。

于 2012-12-07T13:38:30.183 に答える
-2

トランスポート セキュリティには、SSL/TLS を使用します。リプレイ保護には、CSRF トークンを使用します。安全なパスワード ストレージには、このようなキー付きハッシュを使用します。

編集:提示されたスキームは安全ではありません。このアイデアの詳細については、security.se のこの投稿を参照してください。

于 2012-12-07T11:39:10.973 に答える