网站登录的加密传输安全
2007-11-27 10:11
232 查看
刚才看到了一篇文章,不使用SSL带来的后果就是安全性的降低,相当于网站自己当CA,自己颁发数字证书。数字证书颁发机构(CA)在互联网安全生态链中扮演一个非常
重要的角色,因为CA充当可信任的第三方在验证申请者的真实身份后才颁发SSL证书。因此,CA从一定程度上保护了最终用户的信息安全,并预防了网站自己
“内鬼”从中窃取用户信息的可能性。因此,使用RSA并不能完全替代SSL的作用。
不过如果黑客通过arp欺骗的方法伪造的RSA密钥
的话,我觉得也不一定能窃取用户的密码。因为用户验证密码并非将客户端用户的密码传到服务器上进行验证,通常情况下只要客户端用户密码的“消息摘要算法
(Hash
function)”和服务器端的一致即可,因此,验证的方法可以这样进行:客户端将用户密码的HASH数值(MD5或者SHA1)使用服务器端生成的公
钥进行RSA加密,并传输到服务器端,服务器端接收到以后,使用私钥进行解谜,解密出HASH码后和数据库中计算出的HASH码进行比较,从而进行认证。
这样,即使黑客使用arp欺骗窃取了用户传输的数据,也仅仅窃取了用户密码的HASH值,并不是用户的密码明文,而从密码的HASH值反推用户密码则是十分困难的,详见“密码学基础”一文,因此得到的数据也没有多大用处。
重要的角色,因为CA充当可信任的第三方在验证申请者的真实身份后才颁发SSL证书。因此,CA从一定程度上保护了最终用户的信息安全,并预防了网站自己
“内鬼”从中窃取用户信息的可能性。因此,使用RSA并不能完全替代SSL的作用。
不过如果黑客通过arp欺骗的方法伪造的RSA密钥
的话,我觉得也不一定能窃取用户的密码。因为用户验证密码并非将客户端用户的密码传到服务器上进行验证,通常情况下只要客户端用户密码的“消息摘要算法
(Hash
function)”和服务器端的一致即可,因此,验证的方法可以这样进行:客户端将用户密码的HASH数值(MD5或者SHA1)使用服务器端生成的公
钥进行RSA加密,并传输到服务器端,服务器端接收到以后,使用私钥进行解谜,解密出HASH码后和数据库中计算出的HASH码进行比较,从而进行认证。
这样,即使黑客使用arp欺骗窃取了用户传输的数据,也仅仅窃取了用户密码的HASH值,并不是用户的密码明文,而从密码的HASH值反推用户密码则是十分困难的,详见“密码学基础”一文,因此得到的数据也没有多大用处。
相关文章推荐
- 网站登录的加密传输安全
- 基于RSA的网站登录密码的加密传输
- QQ网站登录的RSA加密传输缺陷分析
- paip.提升安全---网站登录密码明文传输的登录高危漏洞解决方案
- 用户登录模块进行必要的安全处理(MD5加密、加盐和传输过程加密)
- QQ网站登录的RSA加密传输缺陷分析
- 开发网站登录功能时,如何保证密码在网络传输过程中的安全?
- QQ登录的加密传输安全
- NET温故而知新学习系列之网站安全技术—web.config加密和解密
- 密码学===网站的安全登录认证设计
- 网络安全系列之十 万能密码登录网站后台 推荐
- HTTPS加密传输数据,加强P2P平台网络安全和信任
- ssh密匙登录方法及rsync加密传输同步文件设置
- CA加密,网络安全HTTPS SSL-安全传输协议SSL和TLS及WTLS的原理
- app与后台的token、sessionId、RSA加密登录认证与安全解决方案
- 用RSA加密实现Web登录密码加密传输
- 用RSA加密实现Web登录密码加密传输
- 网站的安全登录认证设计
- 页面登录密码加密传输机制
- 网站自动登录功能(安全-代码简洁)的设计