之前都沒有仔細想過使用者管理這裡有這麼多需要考慮的部分。
使用者通過賬號以及密碼來登陸,這裡的機制對於安全的設定也值得研究。
最重要的是密碼的管理。
密碼可以通過暴力攻擊等方式來進行。或者像之前csdn出現的問題,由於使用明文儲存,導致破解後的災難。亦或者是做對映關係。比如在a**使用這個郵箱和密碼,在另乙個b**也使用同樣的賬號和密碼。那麼這兩個**其中乙個被破解了,也會導致另乙個**資料的洩漏。
所以,密碼要實施強密碼。諸如限制長度,不允許密碼中出現使用者名稱等等方式,要求具有一定的複雜性。太簡單的密碼容易被暴力攻擊等破解。甚至是使用者的「about me」頁面,收集使用者的子女姓名、生日等資訊進行猜測,破解。
還有就是空閒賬戶的控制,空閒賬戶,只較少登陸但有效的賬戶。由於較少登陸,他們難以發現賬號被盜用。要限制這些空閒賬號。如逾期失效等。
那麼就要對密碼進行管理了。
儲存密碼有三種,明文,密文,單向密碼雜湊。最後一種最好。因為金鑰也有可能會洩漏。
當密碼丟失時,不要實際找回密碼(以防欺騙等),而應該只是設定或重置密碼。
同時,應該為密碼設定時效性。針對不同的應用場景,時效又應該不同。
並且,應該儲存密碼歷史記錄。防止使用者在兩三個密碼間相互交替等情況。這也不是很安全。
盡量不要分配臨時密碼。因為臨時密碼比較簡單(如賬戶號+幾個數字),這樣子很多使用者會懶得更改。或者,強制要求使用者新登入時,必須更改臨時密碼。或者臨時密碼足夠複雜,難記。
很多修改密碼時,使用提示問題。這應該成為乙個輔助手段,而不應該是主要手段。因為使用者資訊,容易在網上獲取到。而且有些內容,容易暴力破解。比如母親姓氏、最喜愛的電影等等。這些答案範圍可以限定。可以用多個的組合,比如喜歡的男藝員,女藝員,變性藝員作為乙個問題。不建議使用使用者自定義的。因為一般使用者不清楚哪些問題安全性高。避免很多人都會選擇相同答案的問題。
《web應用程式安全性剖析》 三種密碼方式
針對對稱加密,非對稱加密,雜湊,三種,進行說明。在對稱加密演算法中,資料發信方將明文 原始資料 和加密金鑰一起經過特殊加密演算法處理後,使其變成複雜的加密密文傳送出去。收信方收到密文後,若想解讀原文,則需要使用加密用過的金鑰及相同演算法的逆演算法對密文進行解密,才能使其恢復成可讀明文。在對稱加密演算...
Office 2010 應用程式安全性
為什麼害怕開啟 office 文件?對於複雜軟體的任何片段,隨著時間的推移,或許都能找到針對該片段的新的檔案分析漏洞利用情況。舊的 office 二進位制檔案格式很容易受到此類攻擊。在過去幾年中,黑客們找到了操縱 office 二進位制檔案的方法,只要這些檔案一開啟和進行分析,他們就能讓自己的 嵌入...
利用Httponly提公升應用程式安全性
隨著www服務的興起,越來越多的應用程式轉向了b s結構,這樣只需要乙個瀏覽器就可以訪問各種各樣的web服務,但是這樣也越來越導致了越來越多的web安全問題。www服務依賴於htpp協議實現,http是無狀態的協議,所以為了在各個會話之間傳遞資訊,就不可避免地用到cookie或者session等技術...