在互联网应用中,身份登记(注册)和身份认证(登录)这两个功能的关键是密码。使用密码自然是为了安全。如果你开发的互联网应用没能正确的使用并处理密码,将会给用户造成一定的安全隐患。要正确的使用并处理密码,首先需要了解用户为什么要设置密码,设置密码是为了防谁?
用户设置密码是为了防谁
有些男士在双十一等节日前夕修改支付宝或银行卡的密码可能是为了防老婆。
(哈哈……不要怪我说出了你的心声……)
对于系统来说,用户名和密码是用来做身份认证(登录)的。只要输入了正确的用户名和密码,系统就认为那个在计算机前坐着的就是用户本人。所以用户的密码是为了防除了用户自己之外的“所有人”。
有几类特殊的“所有人”需要列一下:
- 和用户在同一局域网的人;
因为他们可以通过抓取局域网内的网络数据包,而窥视用户与服务器之间交互的任何数据。并且还可以模仿用户反复多次向服务器发送用户之前发送过的数据包。 - 为用户提供网络服务的电信运营商;
因为用户与服务器通信过程中,所有数据都要经过电信运营商,他们可以做的事并不比“和用户在同一局域网的人”少。 - 用户与服务器之间的所有路径器;
和电信运营商一样,用户与服务器交互的所有数据,也都逃不过这些路由器的眼睛。 - 用户访问的那台服务器;
对用户来说他访问的那台服务器和那台服务器背后的公司同样不可信,并且那台服务器还可能会被黑客攻破。
作为开发者需要保证在身份登记与身份认证过程中,用户输入的密码不会被漏洞给除用户本人之外的其他任何人(包括用户访问的那台服务器)。除此之外,还需要防重放攻击。
安全方案
- 为了不让“局域网内的用户”,“电信运营商”,“各跳路由器”,“系统服务器”看到用户的密码,用户的密码不能明文提交。
- 为了防重放攻击,用户每次提交给服务器的密码都不能相同。
安全方案实践
身份登记
- 设 pwd 为用户的密码明文,username 为用户的用户名明文
- 客户端生成随机数(最好是guid): token
- 客户端计算 password = sha256_hmac(pwd,token)
- 客户端做注册请求,把 username ,password 和 token 提交到服务器端
- 服务器端生成随机数(最好是guid): salt
- 服务器端计算 spassword = sha256_hmac(password ,salt)
- 服务器端把 username、 spassword 、token 和 salt 存到数据库中
身份认证
- 设 pwd 为用户的密码明文,username 为用户的用户名明文
- 客户端做预登录请求,把 username 为参数提交给服务器端
- 服务器端根据 username 从数据库中查询得到 spassword 、token 和 salt
- 服务器端生成随机数(最好是guid): stoken
- 服务器端把 token、salt 和 stoken 返回给客户端
- 客户端计算 spwd = sha256_hmac(sha256_hmac(sha256_hmac(pwd ,token), salt), stoken)
- 客户端做登录请求把 username 和 spwd 提交到服务器端
- 服务器端做计算 sspwd = sha256_hmac(spassword,stoken)
- 服务器端比较 sspwd 与spwd 是否相等,以确定是身份认证是否成功
