摘要： 用户登录是任何一个应用系统的基本功能，特别是对于网上银行系统来说，用户登录的安全性尤为重要。如何设计一个网站的安全登录认证程序，是本文主要讨论的问题。 静态密码存在着比较多的安全隐患，攻击者有很多手段获得静态密码，管理密码也具有较高的成本，我在前文《中国网上银行系统安全性分析》中曾经论证过，使用硬件安全产品“动态密码锁”或者“USB Key”可以较好的解决这个问题，但是会带来加密锁的成本，在... 阅读全文

摘要： 先前我曾经写了一篇“网站的安全登录认证设计”，可能是讲述的不够清楚，有一位读者就留言质疑到， “公钥顾名思义就是公开的啦，只要你愿意，谁都会有你的公钥，何来安全？ 应该是用网站的公钥加密，传到网站后，网站用自己的私钥解密吧”。 这些密码学的概念容易被搞混淆，的确也情有可原。因为公钥、私钥、加密、认证这些都是较为复杂的问题，其概念不太容易理解，理解不透就容易产生各种似是而非的概念，为了让大家... 阅读全文