安全登录网站的认证设计
用户登录的安全安全性尤为重要,用户登录是登录任何一个应用系统的基本功能,特别是网站对于网上银行系统来说。如何设计一个网站的证设安全登录认证程序,是安全以下主要讨论的问题。 静态密码存在着比较多的登录安全隐患,攻击者有很多手段获得静态密码,网站管理密码也具有较高的证设成本,我在前文《网上银行系统安全性分析》中曾经论证过,安全使用硬件安全产品“动态密码锁”或者“USB Key”可以较好的登录解决这个问题,但是网站会带来加密锁的成本,在不增加硬件成本的证设情况下,我们也可以通过一些设计上的安全技巧和措施在一定程度上来保证登录者的身份。 目前的网络协议通过HTTP协议进行通讯,存在很大的安全隐患,黑客可以通过SNIFFER工具进行抓包分析网络数据包,因此用户名和密码的传输应该使用非明文的方式传输,这里就用到了“公开密钥密码”的概念。 学过基本的“密码学”的人都应该知道“公开密钥算法(也叫非对称算法、双钥算法)”这个概念,即用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来。 加密的传输过程分为两部分,一部分为身份认证,用户鉴别这个用户的真伪;另外一部分为数据加密,用于数据的保密。这两部分功能都需要用到非对称加密技术。 先是身份认证,通讯的数据可以这样进行处理,将用户的信息(用户名、密码等)用该用户的私钥进行加密,然后再进行传输,而在服务器端会保存此用户的公钥,用此用户的公钥对传过来的信息进行解密,就可以得到正确的明文,这样就完成了一次安全的网络通讯。 Alice用自己的私钥对明文进行加密后传输到服务器,服务器上的用户(例如Bob)拥有很多用户的公钥,因此使用Alice的公钥对密文进行解密,如果密钥正确的话,就可以解密出明文,也就完成了对Alice的身份认证。 然后是数据加密,数据加密和数据认证正好相反,使用接收方的公钥对数据进行加密,传输的过程中,即使数据被黑客截获,也无法使用这些密文,接收方收到密文后,用自己的私钥对密文进行解密,从而完成了一次数据的加密传输。 Alice需要发给Bob一段加密的信息,因此Alice就用Bob的公钥对明文进行加密后传输给Bob,Bob收到信息后,使用自己的私钥对密文进行解密,就可以解密出明文,也就完成了对Alice的发来密文的解密过程。 目前的公开密钥算法主要有RSA和ECC,RSA是比较老的算法,基于大质数分解,速度较慢,ECC(椭圆曲线)是新的公钥加密算法,基于离散对数计算,速度比RSA快,安全性据说更高一些。 二、服务器端和客户端的安全 深圳网站建设公司-沙漠风(www.szweb.cn.),拥有设计团队为企业提供FLASH网站设计,网页制作,多媒体触摸屏展示设计.
一、登录网络传输上的网站安全
服务器端的安全,包括服务器自身的安全(系统漏洞等等)以及程序设计上的安全,我这里主要讲一下程序设计上的安全。基本的问题是,用户的密码不应该直接保存在服务器的数据库上,也不应该将密码用单钥算法加密后保存,基本的认证方式是通过单向散列函数对密码进行认证。在《软件加密技术和注册机制》一文中介绍了一些单向散列函数可以实现简单的认证。目前大多数网站都使用MD5函数进行登录认证,不过我推荐使用安全性更高的SHA1散列函数来进行登录认证。
客户端的安全,主要是用户密码本身的安全性(密码长度和复杂性等)以及用户电脑的安全性,包括用户电脑没有安装黑客木马软件,登录程序没有被第三方程序加载调试,用户录入框组织键盘Hook程序等等,通过一些代码即可解决。
- 最近发表
- 随机阅读
-
- 企业新建网站的步骤有哪些?
- 网站如何打造“高大上”风格 —— 长沙网站建设的新趋势
- 了解这些小程序的技巧制作速度会更快呦
- 长沙网站页面设计布局,你会选择卡片式、长页面还是砖块式?
- 网站建设好以后是怎样维护网站的
- 长沙网站建设:探讨网站视觉设计的未来趋势
- 在长沙选择做网站,解析成功网站建设的关键因素
- 企业营销型网站如何进行运营管理?
- 企业网站设计那几点比较重要
- 网站要如何做营销,这些方法再也不怕没流量!
- 营销型网站设计:从创意到转化的完整指南
- 长沙网站搭建方案如何选择合适自己的?
- 一个优秀的网站建设体现在哪些方面
- 揭示低价网站建设的陷阱:长沙企业务必注意的关键问题
- 公司网站建设的细节:以长沙网站建设为视角
- 长沙网站建设全方位的seo优化策略
- 如何利用网站建设增强品牌价值与推广效果?
- 程序员们常用的开发工具都有哪些?
- 响应式网站设计,用一个网站适配所有设备屏幕
- 深圳网站建设流程:帮助企业打造线上品牌
- 搜索
-
- 友情链接
-
- 上海SEO优化:新网站如何提高蜘蛛爬行的方法
- 佛山网站优化选择服务器对网站有什么好处?
- 如果你的网站想要做推广,这些知识点不要错过
- 衡阳网站SEO的作用是什么?
- 深圳SEO优化关键,如何为企业优化页面
- 长沙网站推广的过程中如何去做标签优化?
- 上海SEO优化:新网站如何提高文章收录?
- 企业网站常用的几种推广方法
- 衡阳企业为什么要做SEO优化
- 这些网站推广方式你都知道哪些?
- 广州SEO优化推广要注意哪些方面?
- 新互联网时代下的网站推广优化要如何去做
- 深圳SEO优化从哪些方面入手?
- 上海SEO优化:新网站如何提高蜘蛛爬行的方法
- 中山SEO优化在互联网大时代下怎么才能有效?
- 长沙企业网站seo优化推广问答
- 中山SEO优化在互联网大时代下怎么才能有效?
- 广州SEO优化推广方式有哪些?
- 衡阳SEO_网站关键词排名如何稳定?
- 如果你的网站想要做推广,这些知识点不要错过