網站登入的加密傳輸安全

來源:互聯網
上載者:User

  剛才看到了兩篇文章,分別是“QQ網站登入的RSA加密傳輸缺陷分析”和“RSA非對稱式加密的一些非常規應用”,我這裡談一下我的一些看法。

  我以前曾經寫過一篇文章“網站的安全登入認證設計”,對於QQ登入使用RSA進行加密傳輸,的確是一種低成本的替代SSL的方法,因為SSL本身需要數位憑證頒發機構(CA)的介入,還需要一定費用,因此對於安全程度不高的系統使用RSA加密進行“網路傳輸”上的加密安全也是一種選擇。

  然而,不使用SSL帶來的後果就是安全性的降低,相當於網站自己當CA,自己頒發數位憑證。數位憑證頒發機構(CA)在互連網安全生態鏈中扮演一個非常重要的角色,因為CA充當可信任的第三方在驗證申請者的真實身份後才頒發SSL認證。因此,CA從一定程度上保護了終端使用者的資訊安全,並預防了網站自己“內鬼”從中竊取使用者資訊的可能性。因此,使用RSA並不能完全替代SSL的作用。

  不過如果駭客通過arp欺騙的方法偽造的RSA密鑰的話,我覺得也不一定能竊取使用者的密碼。因為使用者驗證密碼並非將用戶端使用者的密碼傳到伺服器上進行驗證,通常情況下只要用戶端使用者密碼的“訊息摘要演算法(Hash function)”和伺服器端的一致即可,因此,驗證的方法可以這樣進行:用戶端將使用者密碼的HASH數值(MD5或者SHA1)使用伺服器端產生的公開金鑰進行RSA加密,並傳輸到伺服器端,伺服器端接收到以後,使用私密金鑰進行解謎,解密出HASH碼後和資料庫中計算出的HASH碼進行比較,從而進行認證。

  這樣,即使駭客使用arp欺騙竊取了使用者傳輸的資料,也僅僅竊取了使用者密碼的HASH值,並不是使用者的密碼明文,而從密碼的HASH值反推使用者密碼則是十分困難的,詳見“密碼學基礎”一文,因此得到的資料也沒有多大用處。

  總的來說,增強QQ登入密碼的安全強度的方法還有很多種,最安全的方法可以使用類似網上銀行的USB Key進行登入驗證,那樣的安全性就基本達到了相當高的程度了,不過使用成本也達到很高的程度了。



相關文章

Alibaba Cloud 10 Year Anniversary

With You, We are Shaping a Digital World, 2009-2019

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。