帐号:密码:下次自动登录{url:/nForum/slist.json?uid=guest&root=list-section}{url:/nForum/nlist.json?uid=guest&root=list-section}
贴数:1&分页:vimer发信人: vimer (老来多忘事，惟不忘相思), 信区: Programming
标&&题: [合集] 密码验证：客户端加密vs服务器端加密？
发信站: 水木社区 (Wed Dec 28 00:09:33 2011), 站内 && ☆─────────────────────────────────────☆ &&
cndenis (cndenis) 于
(Fri Dec 23 19:33:41 2011)
提到: && 服务器数据库是存储加密后的口令，那么，A：客户端加密后把密文传到服务器进行比对，B:客户端把明文传给服务器，由服务器进行加密后再与数据库比对，哪个更安全？换句话说，就是加密运算放在哪边进行比较好。&&&&&& 假如传输过程使用HTTPS的话，是不是两种都一样了？ &&&& ☆─────────────────────────────────────☆ &&
hgoldfish (老鱼) 于
(Fri Dec 23 19:48:00 2011)
提到: && 嗯。登录过程应该使用https。如果不使用https的话，被截取后hash值与明文密码的安全性是差不多的。如果不使用https，比较安全的是使用挑战式验证。 && 【 在 cndenis (cndenis) 的大作中提到: 】
: 服务器数据库是存储加密后的口令，那么，A：客户端加密后把密文传到服务器进行比对，B:客户端把明文传给服务器，由服务器进行加密后再与数据库比对，哪个更安全？换句话说，就是加密运算放在哪边进行比较好。&&&&
: 假如传输过程使用HTTPS的话，是不是两种都一样了？
&&&&&&&& ☆─────────────────────────────────────☆ &&
cndenis (cndenis) 于
(Fri Dec 23 20:11:56 2011)
提到: && 服务器不记录口令明文的话，挑战式验证如何实现？ && edit:
使用两次HASH，在客户端把明文密码HASH后，与挑战的字符串连接后再HASH一次，传输两次HASH后的值？ && 这样的话如果要用salt，就要把salt也传给客户端吧。
【 在 hgoldfish 的大作中提到: 】
: 嗯。登录过程应该使用https。如果不使用https的话，被截取后hash值与明文密码的安全性是差不多的。如果不使用https，比较安全的是使用挑战式验证。
: 【 在 cndenis (cndenis) 的大作中提到: 】
: : 服务器数据库是存储加密后的口令，那么，A：客户端加密后把密文传到服务器进行比对，B:客户端把明文传给服务器，由服务器进行加密后再与数据库比对，哪个更安全？换句话说，就是加密运算放在哪边进行比较好。&&&&
: ...................
&&&& ☆─────────────────────────────────────☆ &&
tgfbeta (有心为善虽善不爽 无心作恶虽恶不乏) 于
(Fri Dec 23 20:19:09 2011)
提到: && 加密口令啊，只在内存里解密
【 在 cndenis (cndenis) 的大作中提到: 】
: 服务器不记录口令明文的话，挑战式验证如何实现？
: 使用两次HASH，在客户端把明文密码HASH后，与挑战的字符串连接后再HASH一次，传输两次HASH后的值？
: ...................
&&&&&& ☆─────────────────────────────────────☆ &&
cndenis (cndenis) 于
(Fri Dec 23 20:31:38 2011)
提到: && 一般数据库里存的都是hash值，是单向的，只能比对而没有解密这一说
【 在 tgfbeta 的大作中提到: 】
: 加密口令啊，只在内存里解密
: 【 在 cndenis (cndenis) 的大作中提到: 】
: : 服务器不记录口令明文的话，挑战式验证如何实现？
: ...................
&&&& ☆─────────────────────────────────────☆ &&
hgoldfish (老鱼) 于
(Fri Dec 23 20:35:41 2011)
提到: && 服务器存储hashed=sha256(password)，验证之前首先从服务器获得一个挑战码(chcode)。客户端返回sha256(chcode+sha256(password))，服务器对比sha256(chcode+hashed) && 【 在 cndenis (cndenis) 的大作中提到: 】
: 服务器不记录口令明文的话，挑战式验证如何实现？
: 使用两次HASH，在客户端把明文密码HASH后，与挑战的字符串连接后再HASH一次，传输两次HASH后的值？
: ...................
&&&&&& ☆─────────────────────────────────────☆ &&
hgoldfish (老鱼) 于
(Fri Dec 23 20:37:27 2011)
提到: && 他的意思是服务器使用aes来加密密码。这样的话数据被暴了也没关系。但是解密用的key也被暴了也同样麻烦。 && 【 在 cndenis (cndenis) 的大作中提到: 】
: 一般数据库里存的都是hash值，是单向的，只能比对而没有解密这一说
&&&&&&&& ☆─────────────────────────────────────☆ &&
cndenis (cndenis) 于
(Fri Dec 23 20:50:16 2011)
提到: && 嗯，这跟我的edit里的意里一样 && 但如果服务器要存hashed=sha(password + salt)怎么办呢？把salt也发给用户吧？ && 不加salt的单纯的hash对于很多用户的密码来说跟没加密差不多
&& 【 在 hgoldfish 的大作中提到: 】
: 服务器存储hashed=sha256(password)，验证之前首先从服务器获得一个挑战码(chcode)。客户端返回sha256(chcode+sha256(password))，服务器对比sha256(chcode+hashed)
: 【 在 cndenis (cndenis) 的大作中提到: 】
: : 服务器不记录口令明文的话，挑战式验证如何实现？
: ...................
&& 用ASE之类的会被人垢病偷看用户密码的吧 && 而且，写程序时要把密码写在源代码的吧，网站被黑掉了这个密码就暴了，用户密码也全暴了
【 在 hgoldfish 的大作中提到: 】
: 他的意思是服务器使用aes来加密密码。这样的话数据被暴了也没关系。但是解密用的key也被暴了也同样麻烦。
: 【 在 cndenis (cndenis) 的大作中提到: 】
: : 一般数据库里存的都是hash值，是单向的，只能比对而没有解密这一说
: ...................
&&&& ☆─────────────────────────────────────☆ &&
Mikov (Mikov Chain) 于
(Fri Dec 23 21:53:02 2011)
提到: && 一般的处理方式, 都是明文发到服务器端, 然后拿salt生成hash值再和服务端存的hash对比. 基本没见过客户端加密传输的. && 所以真要不被截的话, 尽量用https, 这至少保证不容易被中途的节点截获.&&&& 我同学做防火墙的, 他说现在https也是可以截获的, 所以尽量别在未知的网络环境下使用和支付相关的应用. && 【 在 cndenis (cndenis) 的大作中提到: 】
: 嗯，这跟我的edit里的意里一样
: 但如果服务器要存hashed=sha(password + salt)怎么办呢？把salt也发给用户吧？
: 不加salt的单纯的hash对于很多用户的密码来说跟没加密差不多
: ...................
&&&&&& ☆─────────────────────────────────────☆ &&
hgoldfish (老鱼) 于
(Fri Dec 23 21:55:24 2011)
提到: && https可以截获。这个可以发文章了吧。 && 【 在 Mikov (Mikov Chain) 的大作中提到: 】
: 一般的处理方式, 都是明文发到服务器端, 然后拿salt生成hash值再和服务端存的hash对比. 基本没见过客户端加密传输的.
: 所以真要不被截的话, 尽量用https, 这至少保证不容易被中途的节点截获.&&
: 我同学做防火墙的, 他说现在https也是可以截获的, 所以尽量别在未知的网络环境下使用和支付相关的应用.
: ...................
&&&&&& ☆─────────────────────────────────────☆ &&
skydoom (风险管理金融工程) 于
(Fri Dec 23 22:02:22 2011)
提到: && 怎么这么多人喜欢发文章，是不是免费餐狠诱人？
【 在 hgoldfish (老鱼) 的大作中提到: 】
: https可以截获。这个可以发文章了吧。
&&&&&& ☆─────────────────────────────────────☆ &&
Mikov (Mikov Chain) 于
(Fri Dec 23 22:03:14 2011)
提到: && 可能是特定环境下吧, 我没有仔细问,&& 他们公司的产品是针对企业内部环境用的, 大概类似于监视员工传递敏感资源这样. && 【 在 hgoldfish (老鱼) 的大作中提到: 】
: https可以截获。这个可以发文章了吧。
&&&&&& ☆─────────────────────────────────────☆ &&
tgfbeta (有心为善虽善不爽 无心作恶虽恶不乏) 于
(Fri Dec 23 22:04:51 2011)
提到: && 中间人？
【 在 hgoldfish (老鱼) 的大作中提到: 】
: https可以截获。这个可以发文章了吧。
&&&&&&&& ☆─────────────────────────────────────☆ &&
hgoldfish (老鱼) 于
(Sat Dec 24 02:38:05 2011)
提到: && 嗯。那个CNNIC根证书现在还是内置在火狐里面。 && 【 在 milksea (减肥 &_&~~~) 的大作中提到: 】
: 正确实现的权限控制，服务器存储的不是口令也不是加密的口令，只是口令的（不可逆）hash。这里 hash 不是简单地作 MD5、SHA1 这种算法。首先要加盐，也就是把口令与一个密码学安全的随机数混合，或用此随机数做密码等，然后再做 hash；其次 hash 算法一般要比校验和消息
: 传输总是需要 https 之类的机制进行保护的，否则安全性都会降低。传输口令明文当然必须加密，传输的 hash 值也是能不让第三方知道还是最好。实际网站基本上总是传输口令明文的，因为传输一个 hash 值的话就要求用户安装本地控件，很麻烦，只有网银、支付宝或是腾讯这种
: https 在证书无误的情况下是安全的。中间人攻击只能是无证书、伪造证书来做。上网页如果证书有问题一般浏览器会报警的，用户自己当然也要注意。另外也要看证书颁发机构是不是真的可信，cnnic 什么的、自签名证书还要求你导入一个根证书什么的，都不怎么可靠。
: ...................
&&&&&& ☆─────────────────────────────────────☆ &&
hehao (_CTYPE) 于
(Sat Dec 24 02:47:55 2011)
提到: && 谁能保证根证书发布者不搞第二套证书来黑你呢？
谁能保证IE或别的应用程序对某些伪造证书选择性不提醒呢？ && 【 在 milksea (减肥 &_&~~~) 的大作中提到: 】
: 正确实现的权限控制，服务器存储的不是口令也不是加密的口令，只是口令的（不可逆）hash。这里 hash 不是简单地作 MD5、SHA1 这种算法。首先要加盐，也就是把口令与一个密码学安全的随机数混合，或用此随机数做密钥等，然后再做 hash；其次 hash 算法一般要比校验和消息
: 传输总是需要 https 之类的机制进行保护的，否则安全性都会降低。传输口令明文当然必须加密，传输的 hash 值也是能不让第三方知道还是最好。实际网站基本上总是传输口令明文的，因为传输一个 hash 值的话就要求用户安装本地控件，很麻烦，只有网银、支付宝或是腾讯这种
: https 在证书无误的情况下是安全的。中间人攻击只能是无证书、伪造证书来做。上网页如果证书有问题一般浏览器会报警的，用户自己当然也要注意。另外也要看证书颁发机构是不是真的可信，cnnic 什么的、自签名证书还要求你导入一个根证书什么的，都不怎么可靠。
: ...................
&&&&&& ☆─────────────────────────────────────☆ &&
hgoldfish (老鱼) 于
(Sat Dec 24 02:52:25 2011)
提到: && 安全性并不是绝对的。
就好像现在所谓的最高安全性在一百年后可能就是一个笑话。 &&&& 【 在 hehao (_CTYPE) 的大作中提到: 】
: 谁能保证根证书发布者不搞第二套证书来黑你呢？
: 谁能保证IE或别的应用程序对某些伪造证书选择性不提醒呢？
&&&&&&&& ☆─────────────────────────────────────☆ &&
hehao (_CTYPE) 于
(Sat Dec 24 02:57:59 2011)
提到: &&&& 【 在 milksea (减肥 &_&~~~) 的大作中提到: 】
: 所以才叫可信 CA。你不信它就不安全。
所以把自己jj放别人手里，然后觉得更安全了？
: 实现层面的东西永远没有办法。无论有意还是无意的，这是错误的实现。任何安全产品留后门你都没办法。然而说这个有什么意思呢？
在同一信道内做到安全，根本就自己都不信，怎么要别人去信呢？ &&&&&&&& ☆─────────────────────────────────────☆ &&
cndenis (cndenis) 于
(Sat Dec 24 08:55:49 2011)
提到: && 用JavaScript算MD5或SHA之类的hash也是瞬间完成，不一定非要安装本地控件吧 &&&& 【 在 milksea 的大作中提到: 】
: 正确实现的权限控制，服务器存储的不是口令也不是加密的口令，只是口令的（不可逆）hash。这里 hash 不是简单地作 MD5、SHA1 这种算法。首先要加盐，也就是把口令与一个密码学安全的随机数混合，或用此随机数做密钥等，然后再做 hash；其次 hash 算法一般要比校验和消息认证码迭代的次数多得多，计算一次 hash 越费时在被穷举时越安全，一般是取个安全性与方便性的折中，比如说计算一次需要 0.001 秒，那只要 40bit 复杂度平均就需要十多年的时间穷举。（其实一般人设置的口令并没有 40bit 复杂度，一般网站也不大会用那么慢的算法）
: 传输总是需要 https 之类的机制进行保护的，否则安全性都会降低。传输口令明文当然必须加密，传输的 hash 值也是能不让第三方知道还是最好。实际网站基本上总是传输口令明文的，因为传输一个 hash 值的话就要求用户安装本地控件，很麻烦，只有网银、支付宝或是腾讯这种有客户端的才可能做这种事。
: https 在证书无误的情况下是安全的。中间人攻击只能是无证书、伪造证书来做。上网页如果证书有问题一般浏览器会报警的，用户自己当然也要注意。另外也要看证书颁发机构是不是真的可信，cnnic 什么的、自签名证书还要求你导入一个根证书什么的，都不怎么可靠。
: ...................
&&&& ☆─────────────────────────────────────☆ &&
cndenis (cndenis) 于
(Sat Dec 24 08:59:58 2011)
提到: && 把那东西删掉的话，估计又会有不少用户投诉啥啥网站又上不了啊 && 网上有教人删证书的教程，我觉得如果小白照着做多半是自找麻烦了
【 在 hgoldfish 的大作中提到: 】
: 嗯。那个CNNIC根证书现在还是内置在火狐里面。
: 【 在 milksea (减肥 &_&~~~) 的大作中提到: 】
: : 正确实现的权限控制，服务器存储的不是口令也不是加密的口令，只是口令的（不可逆）hash。这里 hash 不是简单地作 MD5、SHA1 这种算法。首先要加盐，也就是把口令与一个密码学安全的随机数混合，或用此随机数做密码等，然后再做 hash；其次 hash 算法一般要比校验和消息
: ...................
&&&& ☆─────────────────────────────────────☆ &&
JulyClyde (我的月份过去了) 于
(Sat Dec 24 11:27:38 2011)
提到: && 不懂你这个咋实现的
【 在 hgoldfish (老鱼) 的大作中提到: 】
: 服务器存储hashed=sha256(password)，验证之前首先从服务器获得一个挑战码(chcode)。客户端返回sha256(chcode+sha256(password))，服务器对比sha256(chcode+hashed)
&&&&&&&& ☆─────────────────────────────────────☆ &&
JulyClyde (我的月份过去了) 于
(Sat Dec 24 11:28:58 2011)
提到: && 企业环境就很简单了
【 在 Mikov (Mikov Chain) 的大作中提到: 】
: 标&&题: Re: 密码验证：客户端加密vs服务器端加密？
: 发信站: 水木社区 (Fri Dec 23 22:03:14 2011), 站内
: 可能是特定环境下吧, 我没有仔细问,&&
: 他们公司的产品是针对企业内部环境用的, 大概类似于监视员工传递敏感资源这样.
: 【 在 hgoldfish (老鱼) 的大作中提到: 】
: : https可以截获。这个可以发文章了吧。
: ※ 来源:·水木社区 ·[FROM: 118.186.10.*]
&&&&&&&& 文章数:1&分页:
抽奖到手软！将狂欢进行到底！ 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
经验:教你如何租服务器和选择租一台服务器多少钱机房
下载积分：200
内容提示：如果把台双至强的服务器托管到这带宽得不到保证的机房,有用吗请..
文档格式：PDF|
浏览次数：1075|
上传日期： 10:06:01|
文档星级：
该用户还上传了这些文档
经验:教你如何租服务器和选择租一台服务器多少钱机房
官方公共微信SSL证书,服务器证书,通配符证书,多域名证书申请,https证书,256位加密证书-中国数字证书CHINASSL | 申请SSL证书,安装SSL证书,CSR文件生成,技术文档
尊敬的客户：
值此国庆节来临之际，CHINASSL对于您长期以来给予的关心和支持，表示衷心的感谢！
根据国家规定，日至10月7日为公休假期，10月8日正式上班。
国庆假日期间，CHINASSL将为您提供值班技术支持。
任何业务上的问题，请登录登录用户中心；
另外，请您于节前根据预估业务情况打入足够预付款，以确保您节日期间业务的正常开展。节日期间若有入款需求，建议您使用在线支付（支付宝即时到账功能）。
非常感谢您的配合和大力支持！
CHINASSL全体员工祝您：节日快乐，万事如意！
https://www.chinassl.net
本条目发布于。属于分类。作者是。}