中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

怎么安全傳輸存儲用戶密碼

發布時間:2021-10-20 16:34:40 來源:億速云 閱讀:128 作者:iii 欄目:編程語言

本篇內容主要講解“怎么安全傳輸存儲用戶密碼”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“怎么安全傳輸存儲用戶密碼”吧!

1. 如何安全地傳輸用戶的密碼

要拒絕用戶密碼在網絡上裸奔,我們很容易就想到使用https協議,那先來回顧下https相關知識吧~

 
1.1 https 協議
怎么安全傳輸存儲用戶密碼  
  • 「http的三大風險」

為什么要使用https協議呢?「http它不香」嗎? 因為http是明文信息傳輸的。如果在茫茫的網絡海洋,使用http協議,有以下三大風險:

?  
  • 竊聽/嗅探風險:第三方可以截獲通信數據。
  • 數據篡改風險:第三方獲取到通信數據后,會進行惡意修改。
  • 身份偽造風險:第三方可以冒充他人身份參與通信。
?  

如果傳輸不重要的信息還好,但是傳輸用戶密碼這些敏感信息,那可不得了。所以一般都要使用「https協議」傳輸用戶密碼信息。

  • 「https 原理」

https原理是什么呢?為什么它能解決http的三大風險呢?

?  

https = http + SSL/TLS, SSL/TLS 是傳輸層加密協議,它提供內容加密、身份認證、數據完整性校驗,以解決數據傳輸的安全性問題。

?  

為了加深https原理的理解,我們一起復習一下「一次完整https的請求流程」吧~

怎么安全傳輸存儲用戶密碼  
?  
    1. 客戶端發起https請求

           
    2. 服務器必須要有一套數字證書,可以自己制作,也可以向權威機構申請。這套證書其實就是一對公私鑰。

           
    3. 服務器將自己的數字證書(含有公鑰、證書的頒發機構等)發送給客戶端。

           
    4. 客戶端收到服務器端的數字證書之后,會對其進行驗證,主要驗證公鑰是否有效,比如頒發機構,過期時間等等。如果不通過,則彈出警告框。如果證書沒問題,則生成一個密鑰(對稱加密算法的密鑰,其實是一個隨機值),并且用證書的公鑰對這個隨機值加密。

           
    5. 客戶端會發起https中的第二個請求,將加密之后的客戶端密鑰(隨機值)發送給服務器。

           
    6. 服務器接收到客戶端發來的密鑰之后,會用自己的私鑰對其進行非對稱解密,解密之后得到客戶端密鑰,然后用客戶端密鑰對返回數據進行對稱加密,這樣數據就變成了密文。

           
    7. 服務器將加密后的密文返回給客戶端。

           
    8. 客戶端收到服務器發返回的密文,用自己的密鑰(客戶端密鑰)對其進行對稱解密,得到服務器返回的數據。
?  
  • 「https一定安全嗎?」

https的數據傳輸過程,數據都是密文的,那么,使用了https協議傳輸密碼信息,一定是安全的嗎?其實「不然」~

?  
  • 比如,https 完全就是建立在證書可信的基礎上的呢。但是如果遇到中間人偽造證書,一旦客戶端通過驗證,安全性頓時就沒了哦!平時各種釣魚不可描述的網站,很可能就是黑客在誘導用戶安裝它們的偽造證書!
  • 通過偽造證書,https也是可能被抓包的哦。
?     
1.2 對稱加密算法

既然使用了https協議傳輸用戶密碼,還是「不一定安全」,那么,我們就給用戶密碼「加密再傳輸」唄~

加密算法有「對稱加密」「非對稱加密」兩大類。用哪種類型的加密算法「靠譜」呢?

?  

對稱加密:加密和解密使用「相同密鑰」的加密算法。怎么安全傳輸存儲用戶密碼

?  

常用的對稱加密算法主要有以下幾種哈:怎么安全傳輸存儲用戶密碼

如果使用對稱加密算法,需要考慮「密鑰如何給到對方」,如果密鑰還是網絡傳輸給對方,傳輸過程,被中間人拿到的話,也是有風險的哦。 

1.3 非對稱加密算法

再考慮一下非對稱加密算法呢?

?  

「非對稱加密:」 非對稱加密算法需要兩個密鑰(公開密鑰和私有密鑰)。公鑰與私鑰是成對存在的,如果用公鑰對數據進行加密,只有對應的私鑰才能解密。

?  
怎么安全傳輸存儲用戶密碼 

常用的非對稱加密算法主要有以下幾種哈:怎么安全傳輸存儲用戶密碼

?  

如果使用非對稱加密算法,也需要考慮「密鑰公鑰如何給到對方」,如果公鑰還是網絡傳輸給對方,傳輸過程,被中間人拿到的話,會有什么問題呢?「他們是不是可以偽造公鑰,把偽造的公鑰給客戶端,然后,用自己的私鑰等公鑰加密的數據過來?」 大家可以思考下這個問題哈~

?  

我們直接「登錄一下百度」,抓下接口請求,驗證一發大廠是怎么加密的。可以發現有獲取公鑰接口,如下:

怎么安全傳輸存儲用戶密碼  

再看下登錄接口,發現就是RSA算法,RSA就是「非對稱加密算法」。其實百度前端是用了JavaScript庫「jsencrypt」,在github的star還挺多的。

怎么安全傳輸存儲用戶密碼  

因此,我們可以用「https + 非對稱加密算法(如RSA)」 傳輸用戶密碼~

 

2. 如何安全地存儲你的密碼?

假設密碼已經安全到達服務端啦,那么,如何存儲用戶的密碼呢?一定不能明文存儲密碼到數據庫哦!可以用「哈希摘要算法加密密碼」,再保存到數據庫。

?  

哈希摘要算法:只能從明文生成一個對應的哈希值,不能反過來根據哈希值得到對應的明文。

?    
2.1  MD5摘要算法保護你的密碼

MD5 是一種非常經典的哈希摘要算法,被廣泛應用于數據完整性校驗、數據(消息)摘要、數據加密等。但是僅僅使用 MD5 對密碼進行摘要,并不安全。我們看個例子,如下:

public class MD5Test {
    public static void main(String[] args) {
        String password = "abc123456";
        System.out.println(DigestUtils.md5Hex(password));
    }
}
 

運行結果:

0659c7992e268962384eb17fafe88364
 

在MD5免費破解網站一輸入,馬上就可以看到原密碼了。。。

怎么安全傳輸存儲用戶密碼  

試想一下,如果黑客構建一個超大的數據庫,把所有20位數字以內的數字和字母組合的密碼全部計算MD5哈希值出來,并且把密碼和它們對應的哈希值存到里面去(這就是「彩虹表」)。在破解密碼的時候,只需要查一下這個彩虹表就完事了。所以「單單MD5對密碼取哈希值存儲」,已經不安全啦~ 

2.2  MD5+鹽摘要算法保護用戶的密碼

那么,為什么不試一下MD5+鹽呢?什么是「加鹽」

?  

在密碼學中,是指通過在密碼任意固定位置插入特定的字符串,讓散列后的結果和使用原始密碼的散列結果不相符,這種過程稱之為“加鹽”。

?  

用戶密碼+鹽之后,進行哈希散列,再保存到數據庫。這樣可以有效應對彩虹表破解法。但是呢,使用加鹽,需要注意一下幾點:

?  
  • 不能在代碼中寫死鹽,且鹽需要有一定的長度(鹽寫死太簡單的話,黑客可能注冊幾個賬號反推出來)
  • 每一個密碼都有獨立的鹽,并且鹽要長一點,比如超過 20 位。(鹽太短,加上原始密碼太短,容易破解)
  • 最好是隨機的值,并且是全球唯一的,意味著全球不可能有現成的彩虹表給你用。
?  
 
2.3 提升密碼存儲安全的利器登場,Bcrypt

即使是加了鹽,密碼仍有可能被暴力破解。因此,我們可以采取更「慢一點」的算法,讓黑客破解密碼付出更大的代價,甚至迫使他們放棄。提升密碼存儲安全的利器~Bcrypt,可以閃亮登場啦。

?  

實際上,Spring Security 已經廢棄了 MessageDigestPasswordEncoder,推薦使用BCryptPasswordEncoder,也就是BCrypt來進行密碼哈希。BCrypt 生而為保存密碼設計的算法,相比 MD5 要慢很多。

?  

看個例子對比一下吧:

public class BCryptTest {

    public static void main(String[] args) {
        String password = "123456";
        long md5Begin = System.currentTimeMillis();
        DigestUtils.md5Hex(password);
        long md5End = System.currentTimeMillis();
        System.out.println("md5 time:"+(md5End - md5Begin));
        long bcrytBegin = System.currentTimeMillis();
        BCrypt.hashpw(password, BCrypt.gensalt(10));
        long bcrytEnd = System.currentTimeMillis();
        System.out.println("bcrypt Time:" + (bcrytEnd- bcrytBegin));
    }
}
 

運行結果:

md5 time:47
bcrypt Time:1597
 

粗略對比發現,BCrypt比MD5慢幾十倍,黑客想暴力破解的話,就需要花費幾十倍的代價。因此一般情況,建議使用Bcrypt來存儲用戶的密碼 

到此,相信大家對“怎么安全傳輸存儲用戶密碼”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

新巴尔虎左旗| 澄城县| 永德县| 东港市| 太和县| 金门县| 射阳县| 芮城县| 海南省| 海阳市| 雅江县| 临泉县| 千阳县| 富裕县| 拜城县| 兴化市| 遵义市| 林口县| 利津县| 美姑县| 惠水县| 景泰县| 博兴县| 盐亭县| 碌曲县| 谢通门县| 罗源县| 平江县| 清新县| 连州市| 清丰县| 安徽省| 洪洞县| 湄潭县| 泗阳县| 武安市| 阆中市| 昌图县| 阳春市| 唐山市| 平原县|