Web前端密码加密是否有意义?
发布网友
共1个回答
热心网友
没有意义
密码前端的加密根本没有意义,密码系统的安全性没有提高,但会造成不必要的麻烦。
首先,前端开发人员需要知道前端系统的控制完全掌握在用户手中,也就是说前端所做的事情和用户拥有完全的控制。据称,前端做了MD5,后台不必做,这种方法会有什么后果?如果有一天,系统数据库泄露,黑客直接获得每个用户的密码的MD5值,但这一次,因为黑客知道密码的哈希的前面,所以他不需要鼓风的MD5对应什么是原创,而是直接修改发送到服务器的客户端请求的在它的数据库密码字段MD5,符合数据库中的记录,你可以直接登录。这与直接存储明文密码没有区别!!!所以不管前端密码是否加密,后台使用哈希算法的安全内容转换都是必要的。(MD5不能使用BCrypt的,我以前回答类似:用图形表现,当前快速发展的快速哈希算法已成为不安全吗?)有一个人同意这个答案,我希望你不要被错误的答案误导。对方的回答,Linh说,是为了防止原始密码被利用在一个不安全的HTTP连接。但问题是,因为你的登录系统接受密码代替原来的,窃听者根本不需要原始密码,只要哈希结果可以伪造请求登录系统。这样做只会防止攻击者在社交攻击时使用原始密码,而不会提高网站的安全性。所以不管前面密码是不是加密的,使用HTTPS安全连接登录都是很有必要的。
上面我所说的两个要点是:不管前端加密密码,这不能假定为后端设计的安全级别的降低,否则可能出现严重的安全问题。事实上,前端的密码加密可以看作是帮助用户超过原来的文本转换,无论什么加密算法,计算结果是原始密码,如何保护用户的原始密码,如何保护这里的加密结果,因为你的登录系统,他们是原来的密码。
以上,说明密码加密是没有意义的,那么,我得解释一下前端加密会带来什么问题。
有些人认为前端是加密的,以减少对后台安全的需求。这样的误解会导致系统安全漏洞。事实上,您不能对前端做出任何假设,所有与安全相关的技术都必须应用到后台。前端加密将导致页面需要js脚本运行,然后假设您的系统需要与无法运行js的客户机兼容,则必须使用原始程序设计登录接口。由于前端没有加密,所以必须像往常一样应用所有安全机制,因此将这种复杂性添加到系统中是完全不必要的。即使传输明文密码,只要正确使用HTTPS连接和服务器端安全散列算法,密码系统也会非常安全。
