只要有會員系統的**就會涉及到密碼,如果處理不好就會造成前陣子那種事。下面我就說說我在開發時是如何處理密碼這塊功能的。
首先,密碼必須加密,但簡單的md5加密已經沒有太大意義,為了防止字典破解,我會給密碼加鹽後在md5,我一般是用使用者自己的密碼當鹽。
這一步操作後基本上就不怕資料庫暴露了,接下來要做的就是前端的了。我們知道,http傳輸協議是明文的,也就是可能使用者密碼還沒有到後端,在傳輸途中就可能洩露了,那要怎麼解決呢?
其實我們完全可以把加密這一步驟放到前端來,密碼加密好後再進行傳輸,這樣傳輸資料如果被抓取,也是加密過的密碼。
既然要在前台加密,那就需要乙個用來實現加密的js,我這推薦乙個md5.js,呼叫方法可以看下原始碼,沒幾行**,而且也沒有壓縮過。
這就是我對密碼這塊做的2個處理,希望對大家有幫助。如果你又更好的辦法也希望能分享出來。
使用者密碼的保護
最近的新聞報道了幾起黑客高調攻擊密碼系統的事件,包括中國的一號店和美國的linkedin,這兩次攻擊都造成了使用者密碼的洩漏。太不幸了,應該避免這樣的事情發生,因為它降低了整體消費者的信心,特別是在網際網路和電子商務領域。在雲絡公司,我們為自身超強的安全策略和幫助我們的客戶不斷提高他們的系統安全而自...
我們應該如何保護使用者的密碼
最近幾年的新聞中一直有網際網路頭部公司系統被攻擊導致使用者密碼洩露的新聞。那密碼被破解肯定和當初專案伊始時選擇的密碼雜湊方案造成的歷史包袱有關。我們不討論這些網際網路巨頭應該採用什麼方案防止使用者密碼被破解,我知道的方案人家養的那些技術大拿更知道了。我們就來說一下,如果我們有機會自己從零開始做乙個系...
Android系統是如何保護使用者指紋的
那麼有沒有那麼容易呢,android系統是如何保護使用者指紋這一極度私密的資訊的呢?由於android 6.0之前,系統沒有統一的指紋識別處理流程,當時提供指紋功能的各手機廠商的方案都是自行實現的,實現方式各異,其安全性也得不到保障,因此屢屢爆出被破解的新聞。google在統一了fingerprin...