• Home
  • Categories
  • WIKI
  • LANGUAGE: en
    • 关于Deepin系统ID的的密码加密建议
    社区意见 1905 views · 11 replies ·
    Tofloor
    poster avatar
    yeser
    deepin
    2014-09-24 18:17
    Author
    既然存储在服务器上的密码存在被黑客攻破的风险,我们是不是可以把服务器上的值存储为一个变化的值(这个值是上一次登录提交的值),但是客户端提交的值每次都是在一个区间里的某一个值(或值的某一片段在某个区间),通过比较服务器上存储的值和客户端提交的值的差(或其他相关性),确定提交的值是否在某个区间,来确定是不是正确的密码登录。举例:客户端输入“123456”经过加密(加密计算具有在某个区间随机的值),比如变成789010,与服务器上的值789015相减,发现提交的新值处于某个区间,则允许登录,如果不在某个区间,则为非法登录,并且和服务器上的值相等(完全相同),也视为非法登录。这种情况即使获得服务器上的密码,也不会泄露密码,除非同时有能力将这种加密的算法可逆,的到用户输入的密码(如果记录键盘,暂时没想到办法)。也能有效的避免撞库。
    这种算法功能包括:
    1、        提交的密码能标记出是否经过计算
    2、        计算过程带入时间(是提前、当时、推后的时间),并且也标记出来。
    3、        计算过程带入IP地址,并标记,验证密码中标记的IP与登录实际的IP地址是否相同。
    4、        考虑到加密程度,区间还可以采用双区间验证,且每种区间的算法不相同。
    Reply Favorite View the author
    All Replies
    Bluek404
    deepin
    2014-09-24 20:52
    #1
    其实有密码加盐了
    Reply View the author
    yeser
    deepin
    2014-09-24 21:02
    #2
    其实有密码加盐了
    ?没明白
    Reply View the author
    Bluek404
    deepin
    2014-09-24 21:18
    #3
    [quote]其实有密码加盐了
    ?没明白[/quote]
    http://zh.wikipedia.org/wiki/%E7%9B%90_ ... 5%AD%A6%29
    这种密码要破解只能靠暴力破解
    就是挨个试密码,破解成本超大
    Reply View the author
    yeser
    deepin
    2014-09-24 23:39
    #4
    http://zh.wikipedia.org/wiki/%E7%9B%90_ ... 5%AD%A6%29
    这种密码要破解只能靠暴力破解
    就是挨个试密码,破解成本超大
    你没看明白,我说的不仅仅是加盐的问题,说的是服务器上怎样存储的密码,从而避免撞库情况的发生!
    Reply View the author
    Bluek404
    deepin
    2014-09-25 02:12
    #5
    [quote]
    http://zh.wikipedia.org/wiki/%E7%9B%90_ ... 5%AD%A6%29
    这种密码要破解只能靠暴力破解
    就是挨个试密码,破解成本超大
    你没看明白,我说的不仅仅是加盐的问题,说的是服务器上怎样存储的密码,从而避免撞库情况的发生![/quote]
    储存密码的话完全没必要这么麻烦啊
    而且如果换了客户端或者电脑怎么办。。。
    这个还得考虑用户的密码安全性,如果用户全部网站都使用一个密码
    那么服务端再加密储存也没用
    只要用户所登录的网站随便哪一个泄露了,就会全部玩完
    网站能做到的就是保护好自己的数据库,防止泄漏
    如果泄漏了,而且密码经过加盐,一般是只能靠暴力破解(暴力破解没办法防……)
    我总共有7个密码,分别按安全级别高低在不同应用上使用
    而且比较推荐使用类似1Password的软件
    Reply View the author
    yeser
    deepin
    2014-09-25 02:23
    #6
    换电脑和换客户端完全无碍!
    还有我说得是服务器上存储的东西和客户端登录时提交的并不相同,防止撞库。
    咋就觉得咱俩讨论的不是同一个问题呢?
    Reply View the author
    Bluek404
    deepin
    2014-09-25 02:26
    #7
    换电脑和换客户端完全无碍!
    还有我说得是服务器上存储的东西和客户端登录时提交的并不相同,防止撞库。
    咋就觉得咱俩讨论的不是同一个问题呢?
    关键是入侵者不需要撞库啊……
    因为他只要有别的网站的这个用户的密码就行了
    Deepin的服务器根本不需要被入侵
    只要密码一样就行
    Reply View the author
    Bluek404
    deepin
    2014-09-25 02:32
    #8
    撞库的原因是用户在不同的网站使用了相同的密码
    然后只要其中一个网站遭到入侵
    黑客就可以用获取到的密码登录所有相同密码的网站
    Deepin如果做好防护措施,是不会被轻易入侵的
    但是如果别的网站密码被泄漏
    Deepin再怎么做加密也是无效的
    而且楼主提出的这个方法还不算很靠谱。。。
    因为只要符合范围就可以登录,说不定有2个密码同时符合要求
    会增加被暴力破解的机率的
    Reply View the author
    yeser
    deepin
    2014-09-25 02:52
    #9
    撞库的原因是用户在不同的网站使用了相同的密码
    然后只要其中一个网站遭到入侵
    黑客就可以用获取到的密码登录所有相同密码的网站
    Deepin如果做好防护措施,是不会被轻易入侵的
    但是如果别的网站密码被泄漏
    Deepin再怎么做加密也是无效的
    而且楼主提出的这个方法还不算很靠谱。。。
    因为只要符合范围就可以登录,说不定有2个密码同时符合要求
    会增加被暴力破解的机率的
    兄弟:一种情况:我写的你没仔细看
    第二种情况:我没有表达清楚
    Reply View the author
    Bluek404
    deepin
    2014-09-25 03:59
    #10
    [quote]撞库的原因是用户在不同的网站使用了相同的密码
    然后只要其中一个网站遭到入侵
    黑客就可以用获取到的密码登录所有相同密码的网站
    Deepin如果做好防护措施,是不会被轻易入侵的
    但是如果别的网站密码被泄漏
    Deepin再怎么做加密也是无效的
    而且楼主提出的这个方法还不算很靠谱。。。
    因为只要符合范围就可以登录,说不定有2个密码同时符合要求
    会增加被暴力破解的机率的
    兄弟:一种情况:我写的你没仔细看
    第二种情况:我没有表达清楚[/quote]
    能不能解释的更加详细一点?
    比如客户端和服务端验证的顺序什么的
    还有服务端的验证过程
    Reply View the author
    yeser
    deepin
    2014-09-25 04:19
    #11
    稍等
    Reply View the author