在做登录功能时,为了保证用户隐私及安全,通常需要对用户的登录信息进行加密.
一般做法:
一般开发人员会把密码进行MD5加密之后再发给服务器校验,但是这样做安全吗?请看以下结果,以下是MD5加密之后的哈希值,然后再用网站查询得到的结果
哈希不是不可逆的吗?怎么会被破解?我们往下看:
哈希有三个特征:
1.不可逆
2.结果是定长的,MD5是32位
3.相同的数据哈希之后结果是一致的
根据特征3,如果一个数据A,A经过哈希之后的值是确定的,那么当我把A的哈希值储存起来,当下次遇到这个哈希值的时候,我就可以通过查询得到数据A了
所以,直接MD5加密之后是不安全的,那么怎么办呢?
一般做法2.0:
一般被储存起来的哈希值是比较简单的,我们可以增加数据的复杂性,不让它那么容易被查询,所以有了加盐,给我们需要加密的数据"加一点盐",我们先定义好"盐"(盐要足够长及复杂),这样做虽然查询不到,但是这个盐是由某个开发人员设置的,当这个开发人员离职的时候,这个盐就不安全了,另外盐不可以轻易更改,盐被更改时,不仅上一个版本的用户全部需要升级和重新注册,而且每个端都需要更改.
一般做法3.0:
那么我们还可以怎么办呢? --使用HMAC(HMAC是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出), HMAC利用一个密钥来做两次散列运算.
HMAC大致流程:
1. 用户注册的时候服务器发送一个key给客户端使用,客户端把key值保存起来.
2. 登录的时候,利用HMAC算法把密码和key指结合生成一个信息摘要,然后发给服务器.
3. 服务器直接取出你注册时储存的信息摘要来比对,一致就通过,不一致就不通过.
这样做别人就不太可能会获取到你的密码了,那这样是不是就安全了呢?其实还有个问题,别人虽然获取不到你的密码,但是黑客也可以不需要你的密码原文,他只要抓取你发出的32位字符串的信息摘要,模拟你登录,然后给服务器发请求,照样可以得到服务器响应.所以我们还需要改进
一般做法4.0:
HMAC加上时间戳,我们先来看下流程:
1. 用户注册的时候服务器发送一个key给客户端使用,客户端把key值保存起来.
2. 登录的时候,客户端从服务器请求一个时间戳,利用HMAC算法把密码和key指结合生成一个信息摘要,然后把得到的信息摘要加上从服务器请求回来的时间再生成一个信息摘要,接着把最后的信息摘要发给服务器.(注意时间戳只精确到分钟)
3. 服务器取出你注册时储存的信息摘要,加上服务器现在的时间戳再生成一个信息摘要,如果不一致就把时间戳减去一分钟重新验证,如果有一次一致就登录成功,两次都不一致就登录失败.(注意时间戳只精确到分钟)
安全性分析:登录过程中如果被黑客抓取到,他得到的是你加了时间戳的信息摘要,要破解的可能性非常小,那么有同学会说黑客不用破解啊,直接拿这个信息摘要模拟登录就可以啦,没错,这样做可以,但是黑客得在多者1分59秒之内完成模拟登录,少者在1分钟之内完成模拟登录.因为服务器验证的有效期也是这一分多钟内的,超过了就验证不通过了.在这么短的时间内黑客模拟登录是不容易的,再者,这么短的时间内用户也还没退出app,他就会发现账号在别处登录了.
tips:
更换key怎么办?--当拿原始的key开登录时,服务器先允许登录成功,然后把新的key返回给客户端,客户端保存新的key值.
新设备没有key值怎么办?--当用户换了一台新设备登录账号的时候,我们需要查看手机内有没有key,没有的话要先从服务器获取key值.
网友评论