网络密码传输安全性分析及解决方案

随着越来越多的网站发成密码泄露事件，用户的信息越来越公开，对用户造成一些不必要的损失，可见，保护网站用户密码是一件很有必要的事情。

目前，网站用户密码传输有两种方式：明文传输和密文传输，响应的数据库存储也采用明文存储和密文存储。在csdn密码泄露之前，它的数据库存储的就是用户的明文密码，造成了很大的损失。不过，现在很多网站仍然采用明文传输和明文存储的方式，极易受到攻击，获得用户注册信息。

密文传输又分为 静态加密和动态加密。静态加密主要是采用各种加密算法实现，相对破解也容易些，只要知道采用的算法，可以采取各种方法实现破解，其中比较有名气的是MD5（Message Digest 5)算法，具有不可逆性，就是一旦加密成128位的符号后，不可解密为原来的串，但是在某些公开的网站收集了常用的一些密码对应的MD5值，如果用户密码过短或者很简单，很容易会被查询到。

安全传输技术：

　HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议

　　它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。。

　　https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

　　它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

　　限制

　　它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.

　　一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。