Web前端密码加密是否有意义?

安全 应用安全
好多读者认为只要使用了https,加密了http的所有字段,整个通信过程就是安全的了。殊不知,现如今https通信并不是端到端(End to End),而往往是中间夹杂着代理,有客户端的代理,也有服务器端的代理。

 正文

好多读者认为只要使用了https,加密了http的所有字段,整个通信过程就是安全的了。殊不知,现如今https通信并不是端到端(End to End),而往往是中间夹杂着代理,有客户端的代理,也有服务器端的代理。

而代理的存在使得本来较为严密的、安全的https,存在安全隐患。

[[256298]]

客户端代理

通常用户是不知道代理的存在,比如企业为了监控员工https流量,一定会在员工电脑上下手脚,这样企业的网管完全可以看到员工的https明文流量,其中也包含用户的明文密码。

服务器代理

通常有服务器的数字证书私钥,可以与客户端建立https加密通信,自然就可以看到用户的https明文流量,其中也包含用户的明文密码。

以上两种情况,用户的明文密码都有泄漏的风险。

一旦前端加密了用户密码,即使有代理的存在,依然无法获得用户的明文密码。

前端加密用户密码

  • 不加盐的MD5加密密码

尽管中间代理无法获得明文密码,但依然可以拿着截获的MD5密码实现登录,这依然是一个安全隐患。

  • 加盐的一次性密码OTP

如果每次加密用户密码时,同时添加随机码Nonce,随机码只使用一次,那么每次产生的密码就是一次性的、动态变化的。

即使被中间代理截获,也无法第二次登录用户账户。

即使没有中间代理的存在,目前很多https依然使用RSA算法来实现认证环节、密钥交换(Key Exchange)环节。一旦服务器的私钥泄露,历史上被截获的https加密流量,将会被轻松破解,其中包括用户的明文密码。

这就是为何TLS 1.3会完全抛弃RSA算法,做为密钥分发算法的原因,因为它不满足PFS要求。

PFS要求

PFS,Perfect Forward Secrecy,任何一个安全要素的破解,都不能破解全部数据。如果满足这个条件,则为满足PFS要求,否则为不满足。

综上所述,前端加密用户密码,是为了更好滴保护安全、隐私,即使在https被完全破解的情况下,同样也可以!

责任编辑:武晓燕 来源: 车小胖谈网络
相关推荐

2022-02-28 22:52:56

混合云工具技术

2023-01-30 07:55:44

代码过度设计

2023-08-30 08:04:03

架构前端应用程序

2011-09-09 10:31:40

Xen虚拟化linux内核

2021-02-19 09:45:50

Python面向对象代码

2021-03-04 13:25:22

Python面向对象代码

2016-04-13 10:52:12

2021-04-06 11:21:50

Python面向对象代码

2015-04-23 16:21:23

2014-05-04 10:06:56

数据收集

2024-04-19 11:34:10

数据中心

2013-05-20 10:09:19

过时应用迁移云计算

2020-06-04 08:05:06

物联网客户见解IOT

2011-08-23 09:00:47

可用性五个九

2014-12-24 10:03:26

融合基础设施

2016-02-17 09:06:42

代码注释代码规范

2022-12-12 17:42:38

人工智能预测性维护智能建筑

2021-10-28 15:02:16

OpenHarmony微纳卫星

2022-09-30 09:24:10

思维办公IT

2018-09-26 17:28:15

KubernetesServerless云计算
点赞
收藏

51CTO技术栈公众号