帳號密碼安全機制

帳號密碼安全機制

筆記一下

 

1.一般我們將密碼MD5之後存到DB防止密碼資料外洩

但如果這動作是做在Server端

則無法防範中途被有心人士攔截

2.這部分可以在Client利用前端語言(例如Web的JQuery等)先行處理

將密碼MD5之後再傳回Server

如此一來即使被攔截但不會知道真正密碼

3.但這樣其實有心人士拿這組資料還是可以登入系統

因此可以加上Client的時間戳記來加密

到Server需要解密之後驗證時間戳

如此一來即使被第三方取得

除非當下立即來做登入動作

否則隔一段時間時間驗證就會失效無法通過認證

4.最後這段加密可以連同帳號一起encode (可能利用base64或sha2)

可以防止帳號外洩

進一步提升資料安全

5.最後可以看如何跟OAuth整合

也可能OAuth Server 有實作這部分

6.結論

花錢買SSL就好了啊!

7.登入email通知可以在被盜帳號後較快發現異常登入

 

PS5