安全にユーザーのパスワードを保存して輸送するためにどのようにウェブサイト
異なる角度は、セキュリティを定義します
システムパスワードのセキュリティ条件が満たされます
- 理論的には、システムは、それが実際には解読できない、解読されることはありません。
- 暗号化システムの機密性は、暗号化/復号化アルゴリズム及びシステム上のが、唯一のキーの機密性に依存しません。
- 簡単に実装するために迅速かつ簡単に/ソフトウェア/ハードウェアで暗号解読操作を追加します。
- 利用できるスペースキーの暗号化/復号化アルゴリズムのすべての要素。
安全計測システムパスワードの基本的な基準
- 計算セキュリティ:パワーを計算し、計算時間は、実用的な条件の下で使って暗号化アルゴリズムを解読することはできません。
- 証明セキュリティ:パスワードの復号化システムは、数学の問題の解決策の詳細な研究に依存しています。理論的に保証安全。
- 無条件セキュリティ:攻撃者が能力に基づいて、時間で計算制限なく暗号化アルゴリズムを解読することはできません。安全限界状態。
理論的には1回の暗号化アルゴリズム、まだ絶対に安全なパスワードシステムに加えて。実用的なアプリケーションでは、長い証明パスワードシステムは安全で計算するのに使用されるように、我々は、暗号化アルゴリズムが安全であることを信じる理由を持っています。[1]
しっかりストアのパスワード
信頼できるサードパーティのストレージへの委任- OpenIDの技術
OpenIDでのアイデアは、ユーザー認証を完了するために、第三者を使用することです。
現在では、このようなグーグル、ヤフーなど、海外のサイトなどで、そのためのOpenIDサービスを提供するために、そのようなテンセントなどの国があります。
私たちは、ウェブサイトとGoogleのOpenIDサービスを開発することを選択した場合、ユーザーはGmailのアカウントとパスワードでログインすることができ、次のことは、ユーザ認証グーグルを完了することになります。
利点:
- 自分のユーザー名とパスワードを格納する必要、開発コストを削減するため、パスワードを格納するのセキュリティへの影響を考慮する必要はありません。
- ユーザーがサイト上で新しいユーザー名とパスワードを登録する必要はありません。また、これは負担が1新しいユーザー名とパスワードを覚えて減算、データを記入する手間を解消するだけでなく。
暗号化パスワードに使用されるハッシュアルゴリズム
一方向ハッシュアルゴリズムのいくつかの種類:
- MD5(製品での使用はお勧めできません、クラックされています)
- SHAシリーズ(SHA1、SHA256、SHA384、SHA512、等)
唯一のセキュアハッシュアルゴリズムを使用するだけでは十分ではありません。
パスワードを推測、そこ(オフライン攻撃と同様に)同じハッシュ値を見つけます
レインボーテーブル(さまざまなパスワードハッシュアルゴリズム対応のハッシュ値の多数を事前計算)
塩は、セキュリティを向上させます
虹のテーブルに応じて、我々はその後、暗号化に使用するパスワードのハッシュアルゴリズムの後に塩を追加し、クリアテキストのパスワード塩に開始することができます。
いわゆる塩はランダムな文字列で、平文のパスワードに塩を加える平文パスワードと一緒にスプライシングされたランダムな文字列です。塩は時にパスワードの検証に使用されるように、ハッシュ値は通常、塩とパスワードをまとめて格納されています。
我々だけではなく、塩のすべてに同じパスワードを共有するよりも、ランダムに各パスワードに塩を加えることを確認するには:あることに注意してください。(そうしないと、塩のための虹のテーブルを生成することができます)
ブレイク方法:
- 徹底的な方法。迅速かつ効率的なハッシュアルゴリズムのために、塩はほんの数秒で割れることができた後も、純粋なデジタルパスワードのいずれか6。コンピューティングパワーの増加に伴い、亀裂パスワードを低コストで効率的なハッカーはますます高いレベルが存在してもよいです。
- パスワードは、共通のパスワードを大量に収集するために、以前のイベントで漏れました。塩は非常に簡単にクラックするのもであっても、これらの一般的に使用されるパスワード。
bcryptのでひび割れやPBKDF2の難易度を上げます
ブルートフォースに対応するために、我々は、ハッシュアルゴリズムに必要な非常に時間がかかるです。bcryptのアルゴリズムがされて入ってきました。
bcryptの最大の特徴は、我々はパラメータ設定の計算を繰り返すことができる回数です。もちろん、ダブルカウントのより多くの数は時間がかかります。
オープンソース・プロジェクト(ありhttp://bcrypt.sourceforge.net/)アルゴリズムと業界全体のbcryptの実装が。
反復のPBKDF2同じ数は、計算時間によって算出されたパラメータを拡張するように設定することができます。[3]
セキュアなパスワード送信
非対称暗号化
非対称暗号化モード:
- Bは、二つの鍵(公開鍵と秘密)を生成します。公開鍵は公開され、秘密鍵を取得することができ、誰もが保たれている秘密
- 当事者A乙は、情報を暗号化するために、次にそれを使用して、公開鍵を取得します
- 暗号化された情報を取得するためにBは、秘密鍵を復号化します。
ハッカーが公共を得た場合でも、ない秘密鍵はレインボーテーブルを考慮せずに、復号化するための方法はありません、長期的には、鍵のペアを使用することができます。[6]
GPG暗号化
GPGはGNUプライバシーガード、非対称暗号化の略です。
あなたは誰に暗号化された情報を送信したい場合は、まずあなたは自分の公開鍵を取得する必要があり、その後、彼に、公開鍵暗号化した後、自分の秘密鍵を使用して他のファイルを復号化して読むことができます。[4]
RSAアルゴリズム
RSAアルゴリズムの原則:http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html
対称暗号化
対称暗号化モード:
- 暗号化ルールの特定の種類を選択するための党、情報が暗号化されています
- 同じルールを使用してB、メッセージを解読する[6]
二つの共通の対称暗号化アルゴリズム:
- ブロック暗号:DESなどの暗号化されたビットの固定長ブロックのための時間。
- ストリーム暗号:暗号化従って、入力及び連続操作として多数のビットを提供するステップと、[5]
異なる秘密鍵でそれぞれが、秘密鍵の管理および物質移動コストが高くなりすぎた場合、クライアントとサーバは、秘密鍵は、それを破るのは簡単である場合にのみ、対称暗号化を使用して通信します。[6]
HTTPS
SSLやTLSによる暗号化されたデータを提供するために、HTTPプロトコルに基づいて、互いのアイデンティティとデータの整合性保護を確認します。
特長:
- コンテンツの暗号化:ハイブリッド暗号化技術、直接プレーンテキストの内容を表示することができない人々の間。
- 認証:クライアント証明書の認証を介してアクセスするには、独自のサーバーです。
- データ整合性の保護:コンテンツの防止送信が改ざんまたは仲介者を装っています。[7]
その他の攻撃の可能性とそれに対応する予防措置
ここでは、Webサーバーからユーザーのパスワードを破るための唯一の方法を検討してください。
オンライン攻撃
ユーザ認証のリンクサイトのユーザー名とパスワードでユーザーコードによって誘惑。
攻撃サイトの契約前にサイトを取得する必要があります(http
、https
、ftp
、pop3
、...)、完全なログインURL(通常は見えない)、ログイン情報を失敗しました(Login failed
、请检查用户名、密码
、...)。
攻撃方法:例えば、ユーザの管理」パスワードを攻撃する:(組み立て後に、サイトへのログイン要求を送信し、辞書順のパスワードから選択し、プログラムサイクルシミュレーションユーザログインの動作を使用request
(フィードバック情報のウェブサイトを受け、) response
)し、分析し、もしいいえ、攻撃が成功したことを示す、ログイン失敗のメッセージに戻ります。
既存のソフトウェアツール:
- ウェブの基本的な情報を取得します。
BurpSuite
- パスワードクラッキングを形成します:
hydra
注意事項:
- 検証コード、スライダーのパズルは、ログインの失敗などの数を制限します。完全に排除することはできません。[2]
オフライン攻撃
地元取得するためにハッシュコードを保存し、割れオフラインパスワードを自分のコンピュータを使用しています。
あなたは最初の暗号化パスワードを決定する必要があります。順番に辞書パスワードの暗号化した後、比較。[2]
既存のソフトウェアツール:
John the Ripper
hashcat
注意事項:
- 最適化ストレージ技術は、特殊な暗号化方式を取るために、パスワードをハッシュ化されました。
参照
[1]漁師情報定義セキュリティ暗号[EB / OL]。Https://www.fisec.cn/1244.html、2019年2月12日
原則とパスワード攻撃の方法[EB / OL]:平凡[2]はエントリテクノロジー技術ハッキング言っHttps://cloud.tencent.com/developer/news/313489、2018年9月13日を
星に向けた[3]。どのように安全に格納するパスワード[EB / OL]へ。Https://www.cnblogs.com/jpfss/p/11024665.html、2019年6月14日
[4]受動的な態度。GPG暗号コンサイスガイド[EB / OL]。Http://blog.sina.com.cn/s/blog_71f3890901011ig0.html、2012-04-19
[5] kph_Hajashセキュリティ情報伝送ネットワーク[EB / OL]。Https://blog.csdn.net/chuanglan/article/details/80627366、2018年6月8日
[6]オクトチェン徐どのユーザパスワード暗号化された転送及びストレージ[EB / OL]。Https://zhuanlan.zhihu.com/p/36603247、2018年5月9日
[7]〜。HTTPおよびHTTPSプロトコル、1を参照してくださいには、[EB / OL]で十分です。犬を飛ぶHttps://blog.csdn.net/xiaoming100001/article/details/81109617、2019年8月3日