为进一步加强xxx系统网络与数据等方面的安全性,近期对系统、云服务环境、数据库开展以下安全方面的安全治理工作,保障系统安全性,近期对系统密码进行优化。
一、网站密码安全性
1.1、强口令限制
对密码实行强口令改造,保障密码符合强口令规则:10-20位字母大小写+数字+特殊符号。
1.2、密码传输安全性
前端采用对称加密+非对称加密结合的方式进行密码传输加密(AES对称加密,RSA非对称加密),后端解密后再结合MD5+盐的方式进行密码加密保障密码传输及存储的安全性。
1.3、强制修改口令
用户登录后增加口令校验,不符合强口令规则的用户登录系统后会提示进行口令修改,修改为符合强口令规则的密码。
二、网站登录安全性
2.1、登录图形验证码
为防止登录功能恶意攻击,增强登录功能的验证机制,登录功能新增图形验证码,登录时必须进行图形验证码校验才能执行登录操作。
2.2、密码连续错误锁定
连续输入6次错误密码,系统将锁定用户60分钟(60分钟内对应用户无法登录,60分钟后自动解锁)。
三、流程图
3.1 服务端客户端对称+非对称传递密码流程图
3.2 登录-强校验密码-流程梳理图
四、理论知识
4.1 加密分为三种:
1、对称加密(symmetric),例如:AES、DES等
对称加密算法即加密和解密使用相同密钥的算法
2、非对称加密(asymmetric),例如:RSA、DSA等
非对称密码算法指加密和解密使用不同密钥的加密算法,也称为公私钥加密
3、消息摘要加密(digest),例如:MD5、SHA-1、SHA-256、HMAC等
消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,可以被解密逆向的只有CRC32算法,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文
五、其它
正则表达式:
密码校验:使用10-20位数字、大小写英文、特殊符号的组合
^(?![A-z0-9]+$)(?=.[^%&',;=?$\x22])(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9]).{10,20}$
