如何解决使用注册表格将密码存储在DB中的安全方法是什么?
| 我有一个名为server的注册表单,其中包含名称,IP,密码。表单将发送操作员先前填充的数据,但是问题是: 密码字段将如何传播直到我插入验证码? 一些简短的例子: 表格<form method=POST action=myActPage.PHP>
<input type=PASSWORD name=PWD value=\"\" />
<input type=SUBMIT value=GO />
</form>
问题出在这里---交通之间---密码可以在这里被盗..如何防止它发生?
PHP操作页面
if ($_POST) {
$pwd = $_POST[\'PWD\'];
$pwd = md5($pwd);
$response = MysqL_query(\"INSERT INTO tbl_pwd (\'pwd\') VALUES (\'$pwd\') \");
}
感谢您对此事的任何想法。
编辑:
我真的花了将近两个小时来搜索stackoverflow,但是在这个特定问题上我什么都没找到,这就是为什么这个问题。毫无疑问,“表单和PHP操作脚本之间的流量”
重要提示:我正在寻找不使用HTTP上的SSL的解决方案。
解决方法
如果您担心密码被拦截,则必须考虑使用HTTPS。即使您在客户端对哈希密码进行了哈希处理,它很可能仍然容易受到重放攻击。
编辑
就存储它们而言,您不再想要使用MD5。它很旧并且有缺陷(请参阅第二段)。您应该使用更好的哈希算法,例如SHA。您还应该在其中加盐。盐会使字典攻击更加困难,尤其是如果您对每个密码使用唯一的盐时。这意味着即使两个用户使用相同的密码,其哈希也将不同。
,您正在寻找的东西进入了数学和密码学领域。 Diffie Hellman密钥交换也可以很好地工作。
研究时应扩大搜索范围。 Stack Exchange适用于特定问题,但不利于收集常识。
,要在@Drackir上扩展:
如果您真的很担心,请双重包装您的哈希。
首先将一个普通的旧盐化哈希作为密码存储在数据库中,例如一个哈希。用户名为salt。
该密码最好是系统生成的密码,因为人类会吸取非
password1
或monkey
的密码。
您将永远不会与该哈希值进行比较,而始终会与使用时间戳记的双重加盐哈希值进行比较。
时间戳由php服务器提供。而且我假设通过使用SSH隧道或其他方式,php服务器和MySQL服务器之间的通道是安全的。
这是演示我建议的示例代码。
时间戳双盐哈希登录
$user = mysql_real_escape_string($_POST[\'USER\']);
$password = $pwd = $_POST[\'PWD\'];
$time = time();
$hash = hash(\'sha512\',$time.hash(\'sha512\',$user.$password));
$query0= \"SELECT * FROM logins WHERE user = \'$user\' AND `timestamp` <= \'$time\'\";
$query1= \"INSERT INTO logins (username,`timestamp`) VALUES (\'$user\',\'$time\')\";
$query2= \"SELECT * FROM users u
INNER JOIN logins l ON (l.username = \'$user\')
WHERE u.username = \'$user\'
AND sha2(CONCAT(MAX(l.`timestamp`),u.passhash),512) = \'$hash\'\";
使用说明
第一次运行query0。拒绝任何返回行的登录,因为任何匹配都意味着某人正在尝试重播。
接下来按此顺序运行query1和query2。允许任何匹配的登录。
这将防止重播攻击并击败彩虹表。
如果使用系统生成的密码,还将使密码猜测非常困难。
请记住在x次错误的登录尝试后阻止该帐户。
如果您不是僵尸网络,则可以在所有用户名中无限次猜测密码,例如1百万个用户x 1百万次尝试将猜出长度为12的数字密码。
请原谅如果php中有一个小错误,那边我有点生锈
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。