Java开发网 Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 探讨口令加密的问题 [精华]
eagle110





发贴: 12
积分: 0
于 2004-07-09 08:45 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
我在学习研究口令加密问题时,看到有关资料上说,用消息摘要的形式保存口令安全性高,如果再用加盐技术就可以防范字典式攻击;或许是我还没有了解清楚,如果用这种方式保存密码的话,一旦用户丢失密码,要找回原来的密码,是否有办法呢?在数据库里只保存着消息摘要,如何可以取回密码呢?


作者 Re:探讨口令加密的问题 [Re:eagle110]
Jove



CJSDN高级会员


发贴: 1228
积分: 194
于 2004-07-09 10:02 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
所以不能找回密码,只能重设密码

也就是用户提供email,系统随机生成一个密码,并发至email
为避免误操作和恶作剧,一般还要在注册时填写密码问题和答案


作者 Re:探讨口令加密的问题 [Re:eagle110]
eagle110





发贴: 12
积分: 0
于 2004-07-09 12:14 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
谢谢。
如果是这样的话,那不是也不安全嘛?在数据库里还必须多设几个字段来存储象email,密码问题和答案这些内容嘛,如果这些内容不经过加密存储,那也就很容易被人窃取了;如果是加密存储的话,那还不如就把密码加密后存入数据库,这样还节省数据库的空间;为什么还要,提出把密码加密后的信息摘要存储到数据库呢?不会是还要把上面那些内容加密后把他们的信息摘要也存入数据库吧。


作者 Re:探讨口令加密的问题 [Re:eagle110]
menzy



版主


发贴: 754
积分: 113
于 2004-07-12 07:48 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
这个问题的前提是:
1. 你的网络管理没有做好,没有健全的网安系统
2. 你的应用服务器被非法攻占,或者你的数据库服务器直接暴露在外部
3. 你的数据库服务器安全等级低,没有合适的控制手段。


作者 Re:探讨口令加密的问题 [Re:eagle110]
eagle110





发贴: 12
积分: 0
于 2004-07-12 08:34 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
是不是说,如果本身数据库安全性能较好,并且未暴露在外部的话,就可以直接把密码经过加密后储存在数据库中,无须存消息摘要(密码必须是可以取回的);而只有当楼上斑竹所说的那种情况下,才须储存消息摘要,并把其他信息如EMAIL等也把它们的信息摘要储存进数据库。


作者 Re:探讨口令加密的问题 [Re:eagle110]
Jove



CJSDN高级会员


发贴: 1228
积分: 194
于 2004-07-12 10:43 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
eagle110 wrote:
是不是说,如果本身数据库安全性能较好,并且未暴露在外部的话,就可以直接把密码经过加密后储存在数据库中,无须存消息摘要(密码必须是可以取回的);而只有当楼上斑竹所说的那种情况下,才须储存消息摘要,并把其他信息如EMAIL等也把它们的信息摘要储存进数据库。

一般来说,数据库是安全的,外部无法访问的
但即使如此,我也倾向于使用单向加密存储用户密码,主要是对开发人员作为一个约束
试想他们select * from sys_user能看到密码明文,还有email等信息。而一般人的密码都是同一套,使用这个密码可以登录他的email
这些都是对开发人员的道德水准提出考验

几个月前,某BBS就出现过有人通过这种方法盗用帐号的事情

而如果使用双向加密(无论对称还是不对称),也不是很保险,虽然直接看数据库不能知道密码
但能操作数据库的,一般也能看到源代码。他若是有心,一样能获得密码的

所以我倾向使用单向加密存储密码,不过这个确实比较麻烦,所以现在多数站点是明文或是双向加密 Sad


作者 Re:探讨口令加密的问题 [Re:eagle110]
floater

Java Jedi

总版主


发贴: 3233
积分: 421
于 2004-07-12 12:48 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
It's the standard industrial practice to hash passwords. dbs are not made to secure passwords.

use other creditials to verify users in order to reset passwrods, if lost.

"Any fool can write code that a computer can understand. Good programmers write code that humans can understand."
- Martin Fowler, Refactoring - Improving the Design of Existing Code
作者 Re:探讨口令加密的问题 [Re:eagle110]
menzy



版主


发贴: 754
积分: 113
于 2004-07-13 08:06 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
eagle110 wrote:
是不是说,如果本身数据库安全性能较好,并且未暴露在外部的话,就可以直接把密码经过加密后储存在数据库中,无须存消息摘要(密码必须是可以取回的);而只有当楼上斑竹所说的那种情况下,才须储存消息摘要,并把其他信息如EMAIL等也把它们的信息摘要储存进数据库。

误解我的意思了,我是正对所谓 密码提示/答案 方式说,不需要再用复杂的方法处理。
一般恢复密码,无非
1。通过密码提示/答案,直接给出原密码,这样做密码需要加密存储,对付类似情况用hash没有什么用的,因为你无法给出密码的原文。
2. 通过向目标帐号发送新生成的口令,让用户重新登陆然后修改。这样做如果还是需要密码问题/回答的话,只不过是加了一道验证。


作者 Re:探讨口令加密的问题 [Re:eagle110]
sailing27





发贴: 6
积分: 0
于 2004-09-07 16:41 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
如果数据库不安全用什么方法都不安全。



flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1
客服电话 18559299278    客服信箱 714923@qq.com    客服QQ 714923