网络密码传输安全性分析及解决方案
2012-06-11 22:17
288 查看
随着越来越多的网站发成密码泄露事件,用户的信息越来越公开,对用户造成一些不必要的损失,可见,保护网站用户密码是一件很有必要的事情。
目前,网站用户密码传输有两种方式:明文传输和密文传输,响应的数据库存储也采用明文存储和密文存储。在csdn密码泄露之前,它的数据库存储的就是用户的明文密码,造成了很大的损失。不过,现在很多网站仍然采用明文传输和明文存储的方式,极易受到攻击,获得用户注册信息。
密文传输又分为 静态加密和动态加密。静态加密主要是采用各种加密算法实现,相对破解也容易些,只要知道采用的算法,可以采取各种方法实现破解,其中比较有名气的是MD5(Message Digest 5)算法,具有不可逆性,就是一旦加密成128位的符号后,不可解密为原来的串,但是在某些公开的网站收集了常用的一些密码对应的MD5值,如果用户密码过短或者很简单,很容易会被查询到。
安全传输技术:
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。。
https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。
它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
限制
它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.
一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生,攻击者尝试窃听数据于传输中。
目前,网站用户密码传输有两种方式:明文传输和密文传输,响应的数据库存储也采用明文存储和密文存储。在csdn密码泄露之前,它的数据库存储的就是用户的明文密码,造成了很大的损失。不过,现在很多网站仍然采用明文传输和明文存储的方式,极易受到攻击,获得用户注册信息。
密文传输又分为 静态加密和动态加密。静态加密主要是采用各种加密算法实现,相对破解也容易些,只要知道采用的算法,可以采取各种方法实现破解,其中比较有名气的是MD5(Message Digest 5)算法,具有不可逆性,就是一旦加密成128位的符号后,不可解密为原来的串,但是在某些公开的网站收集了常用的一些密码对应的MD5值,如果用户密码过短或者很简单,很容易会被查询到。
安全传输技术:
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。。
https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。
它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
限制
它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.
一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生,攻击者尝试窃听数据于传输中。
相关文章推荐
- python网络编程之数据传输UDP实例分析
- 网络数据传输过程分析
- 大型企业网络安全性分析
- mysql protocal协议 tcpdump网络传输字节分析
- 铁通、长宽网络支付时“签名失败”问题分析及解决方案 [88222001]验证签名异常:FAIL[20131101100002-142]
- Redis源码分析(二十二)--- networking网络协议传输
- 网络中数据传输过程的分析
- 无线网络传输问题探讨及效果分析
- 大型企业网络安全性分析
- 网络代销的具体流程及安全性分析
- 卫星与网络:传输流中PCR的抖动原因及解决方案
- VoIP网络解决方案分析
- APP账号密码传输安全分析
- python网络编程之数据传输UDP实例分析
- 网络中数据传输过程的分析
- 大型企业网络系统传输负载测试及分析
- 华为3COM网络流量分析解决方案学习 推荐
- Linux内核--网络协议栈深入分析(三)--BSD socket和传输层sock
- 网络中数据传输过程的分析
- 大型企业网络系统传输负载测试及分析