密码的安全性问题 - 笔记
《Using one-time passwords to prevent password phishing attacks》
讲说可以使用一次性的密码,当用户注册时候,通过用户填写的联系方式,如手机或者email来发送一次性密码。之后的登录貌似也是一样的。
《Kamouflage Loss-Resistant Password Management》
斯坦福的。讲说一般的系统都只存储用户的密码S。他们提出一个框架是存储S + (N-1)个S的变种,认为当用户设备被盗时,黑客破解的时间会增加。不过没看完这篇,跟我们的需求不符。
Digest access authentication
It applies a hash function to a password before sending it over the network, which is safer than basic access authentication, which sends plaintext.Technically, digest authentication is an application of MD5 cryptographic hashing with usage of nonce values to prevent replay attacks. It uses the HTTP protocol.
密码传输问题
http://zhuoqiang.me/password-transport.html
提到几种方式:
①HTTPS
②客户端md5后传给server端,但是这样不能防止黑客直接使用散列后的MD5值来通过server端的认证。
改进的方法:server端传给客户端一个随机值做salt,然后使用salt和之前的MD5值再进行MD5。但是这样也存在漏洞,就是黑客可以劫持session。
③使用软键盘或者自己写一个密码输入的客户端……
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构
2012-04-09 Sybase ETL
2012-04-09 ETL简介