web_密码传输

来源:http://blog.163.com/sir_876/blog/static/117052232012322102922392/        

密码的传输比密码的存储更加敏感和不安全,一般的应用大致有三个层次的传输策略:

  1. 使用 HTTPS 加密传输,非常安全,但对 Server 性能要求很高。也影响登录速度。一般用在高安全性的登录上面。Google 和微软的登录都强制使用 HTTPS 确保安全第一。
  2. 使用随即密钥对密码进行加密变换后传输,相对安全,密码明文很安全,但仍可能发生重放攻击。这种方式是性能和安全性的折中。一般的服务使用足亦。国内的开心网就使用这种方式进行登录认证。
  3. 不做任何修饰,直接将密码明文通过 HTTP POST 传输。这种方式漠视了用户密码的安全。实现起来非常简单,但却是对用户隐私和资料的不负责任。很可惜,国内几个著名网站都是采用这种简单方式。用户的应对 之道就是不要在这些网站上使用有价值的密码,例如你银行卡的密码。

posted @ 2015-03-06 16:50  cinsy  阅读(318)  评论(0编辑  收藏  举报