网络安全问题日益严重,即使是大型知名企业也面临敏感用户数据泄露的问题。这些问题可能包括对数据库的未经授权的访问以及日志的泄露等等。此外,我们也经常遇到零日漏洞攻击(Zero-Day Vulnerabilities),所有这些都对用户自身安全和企
一、身份验证
身份验证是用户确认他是所提供标识符的所有者的过程。最明显和人们最熟悉的身份验证过程是密码身份验证。用户进入登录页面,输入用户名和密码,然后登录。下文将展示如何在服务器上实现身份验证。
认证过程可以用一张图表示:
服务端收到请求后,服务器将使用存储在数据库中的值(在注册期间保存的)检查用户的数据,并判断用户是否可以通过身份验证。如果检查成功,通常会在服务器上创建一个会话,并将其标识符作为 Cookie 在响应中返回。
那么,用户注册时如何保存认证数据呢?
1.将密码存储为纯文本
在这种情况下,数据库中的数据将作为开放数据存储。任何有权访问数据库的人都可以获取用户的密码,比如数据库管理员、支持人员或开发人员。此外,系统中始终存在漏洞风险,可能允许入侵者访问数据库且进行下载和转存。
理想情况下,每项服务都应有其唯一的密码,这样就可以避免在服务中泄露身份验证数据的风险。但由于我们使用的服务如此之多,记住所有密码是不可能的。一种解决方案是密码管理器,但使用的人很少,并且用户倾向于能随处使用的一个或多个密码。当一项服务的数据泄露,使用该密码的其他服务也会受到影响,因此强烈建议不要以纯文本形式保存密码,从而保护用户免受此类问题影响。
2.密码哈希
哈希算法是根据用户密码计算数字摘要的特定函数。该函数的工作原理是可以足够快地从密码中获取哈希值,而无法在足够的时间内完成反向转换。哈希函数有MD5、SHA-1、SHA-256 、SH3-512等。使用这些函数,我们保存到数据库中的不是密码本身,而是使用哈希函数从密
这个变体已经好很多了,但它仍有缺点。其中之一是具有相同密码的用户将具有相同的哈希值。如果入侵者获得对数据库的访问权,他就可以根据自己的目的使用数据,同时暴力破解密码的可能性也相当危险。你可以使用流行的密码和哈希来创建数据库(或使用现有数据库),因此可以快速恢复用户密码的值。这也是不推荐这一选项的原因。
3.使用唯一盐(Salt)的密码哈希
针对前一个解决方案的痛点,我们可以使用每个
