密文比对认证
一.密文比对认证介绍
在系统登录时密码加密正确流程是先将用户名和密码发送到服务器,服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对,如果加密值相同,则判定用户提交密码正确。
有些网站系统的密码加密流程是在前台浏览器客户端先对密码进行Hash加密后传输给服务器并与数据库加密值进行对比,如果加密值相同,则判定用户提交密码正确。以此流程会泄露密码加密方式,导致出现安全隐患。
加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做“盐”的n位随机数相关联。无论何时只要口令改变,随机数就改变。随机数以未加密的方式存放在口令文件中,这样每个人都可以读。不再只保存加密过的口令,而是先将口令和随机数连接起来然后一同加密,加密后的结果放在口令文件中。
二.密文对比认证流程
三.防御方案
1.将密码加密过程及密文对比过程放置在服务器后台执行。
2.对系统用户登录模块增加有效的验证码机制。
3.对密码加密数据进行加盐处理存储。