帳號密碼安全機制
筆記一下
1.一般我們將密碼MD5之後存到DB防止密碼資料外洩
但如果這動作是做在Server端
則無法防範中途被有心人士攔截
2.這部分可以在Client利用前端語言(例如Web的JQuery等)先行處理
將密碼MD5之後再傳回Server
如此一來即使被攔截但不會知道真正密碼
3.但這樣其實有心人士拿這組資料還是可以登入系統
因此可以加上Client的時間戳記來加密
到Server需要解密之後驗證時間戳
如此一來即使被第三方取得
除非當下立即來做登入動作
否則隔一段時間時間驗證就會失效無法通過認證
4.最後這段加密可以連同帳號一起encode (可能利用base64或sha2)
可以防止帳號外洩
進一步提升資料安全
5.最後可以看如何跟OAuth整合
也可能OAuth Server 有實作這部分
6.結論
花錢買SSL就好了啊!
7.登入email通知可以在被盜帳號後較快發現異常登入