登录重放攻击预防

标签: 登录 重放攻击 预防 | 发表时间:2014-03-18 20:47 | 作者:huangqiqing123
出处:http://www.iteye.com

现在的应用系统中,大部分密码存储都是采用md5加密后存储,常用的登录基本流程如下:

 

1、前端web页面用户输入账号、密码,点击登录。
2、请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。
3、提交账号、md5之后的密码
4、请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。

 

上述流程看似安全,认为传输过程中的密码是md5之后的,即使被监听截取到,由于md5的不可逆性,密码明文也不会泄露。其实不然!监听者无需解密出密码明文即可登录!监听者只需将监听到的url(如: http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放一下,即可冒充你的身份登录系统。

 

较安全的登录流程


1、进入登陆页面时,生成一个随机码(称之为盐值),在客户端页面和session中各保存一份。
2、客户端提交登录请求时,将md5之后的密码与该随机码拼接后,再次执行md5,然后提交(提交的密码=md5(md5(密码明文)+随机码))。
3、后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。


该登录方式,即使登录请求被监听到,回放登录URL,由于随机码不匹配(监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略),无法登录成功。
该登录方式,由于传输的密码是原密码md5之后与随机码再次md5之后的结果,即使监听者采用暴力破解的方式,也很难解密出密码明文。

 

更安全的登录流程


考虑到密码输入的方便性,好多用户的密码都设置的很短,并且不够复杂,往往是6位数字字母组合,这样的密码md5之后保存到数据库,一旦数据库数据泄露,简单密码的md5结果很容易通过暴力破解的方式给解密出来!同时为了方便用户登录的方便性,我们的系统一般不可能要求用户设置很长、很复杂的密码!怎么办?加 固定盐值


1、系统设置一个固定的盐值,该盐值最好足够复杂,如:1qaz2wsx3edc4rfv!@#$%^&**qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA
2、用户注册、修改密码时,将用户的原始密码与我们的固定盐值拼接,然后做md5运算。
3、传递至后端,保存进数据库(数据库中保存的密码是用户的原始密码拼接固定盐值后,md5运算后的结果)。
4、登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。
5、后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。


该登录方式可以认为是 很很很安全的登录方式了。

 

进一步完善

1、加登录验证码,可预防人为地暴力登录破解,为方便合法用户的正常登录,可设置密码输入错误次数达到3次后再出现验证码。

2、账户锁定,如果用户密码输入错误次数达到一定量后(如6次),则可以锁定该账号,为了方便合法用户的正常登录,可以设置成一小时后自动解锁。



已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [登录 重放攻击 预防] 推荐:

登录重放攻击预防

- - 非技术 - ITeye博客
现在的应用系统中,大部分密码存储都是采用md5加密后存储,常用的登录基本流程如下:. 1、前端web页面用户输入账号、密码,点击登录. 2、请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密. 3、提交账号、md5之后的密码. 4、请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败.

API接口防止参数篡改和重放攻击

- - 行业应用 - ITeye博客
在直播服务中,有一个敏感词的检测的需求:当用户发送聊天消息之前,调用接口验证消息是否包含敏感词,我们使用了阿里云的文本安全服务,这是一个按照次数收费的服务,所以接口要求 防止参数篡改和重放攻击. API重放攻击: 就是把之前抓包的数据原封不动的重新发送给接收方. 常用的其他业务场景还有:. 基于timestamp和nonce的方案.

从登录开始

- - 博客园_知识库
  那就先来看看为什么而做.   就数据而言,网站的流量仍是大量的匿名用户带来的. 我们无法根据请求的任何方面(ip地址,用户代理等)准确识别来自同一人的连续请求.   不能识别,自然无法对其分类进而转化挖掘,获取网站所需的价值.   互联网服务于人,要开发一个真正令人动心的网站,我们必须触达到浏览器后面那些活生生的人.

jass登录认证

- - 行业应用 - ITeye博客
Java 认证和授权服务”(Java Authentication and Authorization Service,JAAS)是对 Java 2 SDK 的扩展. JAAS 可分Authentication和Authorization. 1)  Authentication:认证用户身份. 通俗的来说就是哪个用户在执行操作.

预防错误的设计

- - Juven Xu
上周参加了一个 Michael Feathers 的 workshop,整个 workshop 内容非常多,其中大部分是围绕他那本著名的 《修改代码的艺术》所阐述,不过除此之外 Michael 还以  Beyond Error Handling, Using Design to Prevent Errors 为主题,讲了不少如何优雅地处理错误的做法和思路.

登录密码与HTTP Request

- - 博客园_首页
我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的.

SSH的登录限制

- - 操作系统 - ITeye博客
从网络来的数据包首先要经过iptables,所以可以在iptables上面加上规则来限制ip的访问. 比如只限制3个外网,1个内网IP连接. 直接在/etc/hosts.deny里面加一行. sshd: ALL EXCEPT xxx.xxx.xxx.xxx(允许的ip或网段). sshd: ALL EXCEPT xxx.xxx.xxx.xxx/255.255.255.0(允许的网段) 就可以了.

cas配置单点登录

- - 开源软件 - ITeye博客
        最近一段时间研究的cas,不知道是什么原因,可能自己最近太浮躁了,没有沉下心来去研究,所以一直拖着,将近拖了一周半的时间,上周的周总结,确保一定要解决的问题,今天还是横下心来,处理完这个问题,我是一个对于技术痴迷的人,对于现在研究出来这个结果非常高兴,与大家分享一下:.        注明:本文所讲的至少怎么配置,但是具体的原理和细节会在稍后的时间里更新给大家,如有不对的地方希望大家指出来,共同学习和探讨一下.

android 单点登录功能

- - CSDN博客移动开发推荐文章
很多伙伴在开发自己公司产品的时候,一般都会考虑用户账号安全 ,或者用户账号功能使用限制等问题. 这时候我们就会考虑到单点登录这个功能. 一般情况下我们在开发单点登录功能的时候,其实有很多种做法,这个根据自己的具体需求选择就可以,其实我一直认为很多东西没有绝对的规则,我们其实需要做的是尽量全面的尽可能多的去掌握更多的知识技术,当我们用到的时候可以从中选择出最适合自己的产品的技术,从开发时间,应用性等.

账号系统的两阶段登录和三阶段登录

- - idea's blog
简单的账号登录是一阶段登录, 也即用户提供用户名和密码, 然后服务器端验证账号和密码是否正确以决定是否成功登录. 一阶段登录其实安全性是非常危险了, 其危险性就在于这个登录流程涉及到的数据都是静态的, 因为用户名和密码一般不会改变.. 为了在登录流程中引入动态数据, 必须把流程改为两阶段登录: 1, 获取动态临时 secret salt; 2.