前端账号密码登录如何避免明文
A. web前端用户的密码提交时应当怎样加密
密码在前端加密完全没有意义,对密码系统的安全性不会有任何提高,反而会引发不必要的麻烦。首先,做前端开发的人需要知道,前端系统的控制权是完全在用户手里的,也就是说,前端做什么事情,用户有完全的控制权。假设如同 @陈轩所说,前端做过了md5,后台就不用做了,这个做法会有什么后果?如果某一天,这个系统的数据库泄露了,黑客就直接拿到了每个用户的密码md5值,但此时,由于黑客知道密码是在前端进行哈希的,所以他不需要爆破出该md5对应的原文是什么,而是直接修改客户端向服务器发出的请求,把密码字段换成数据库中MD5就可以了,由于与数据库中记录一致,直接就会登录成功。这跟直接存储明文密码没有任何区别!!!所以不管前端是不是加密了密码,后台使用安全的哈希算法对内容再次转换是非常有必要的。(MD5可不行,要用bcrypt,我之前回答过一个类似的:随着显卡性能的高速发展,目前的快速Hash算法是否已经变得不够安全了?)这个回答还有一个人赞同,希望大家别被错误答案误导了。另外一个答案 @林鸿所说,在非安全HTTP连接上,可以防止原始密码被窃听。但问题在于由于你的登录系统接受的哈希过的密码,而不是原文,窃听者根本不需要原始密码,只要通过哈希结果就可以伪造请求登录系统。这样做只能防止被窃听到原文的密码被攻击者用在社会学攻击上,而不能改善该网站的安全性。所以不管前端是不是加密了密码,使用HTTPS安全连接进行登录都是非常有必要的。以上我说的两点,合起来看就是:不管前端是否加密了密码,都不能以此为假设,让后端设计的安全等级下降,否则就会有严重的安全问题。实际上,前端进行密码加密,可以看做帮助用户多进行了一次原文的转换,不管用了什么加密算法,算出来的结果都是密码原文,你该如何保护用户的原始密码,就该如何保护此处的加密结果,因为对你的登录系统来说,它们都是密码原文。以上这些,说明了密码加密是没有什么意义的,接下来,我要说明前端加密会带来什么问题。有些人会认为前端进行了加密,可以降低后台的安全性需求,这种错误的观念会造成系统的安全漏洞。实际上,你不能对前端做任何的假设,所有跟安全相关的技术,都必须应用在后台上。前端进行加密会造成页面需要js脚本才能运行,那么假设你的系统需要兼容不能运行js的客户端,就必须再设计一个使用原文的登录接口。由于前端是不是加密,所有安全机制都必须照常应用,所以为系统增加这样的复杂性是完全没必要的,即使传输明文密码,只要正确使用了HTTPS连接和服务器端安全的哈希算法,密码系统都可以是很安全的。
B. 网络账号和密码太多 记不住怎么办用一样的 又担心安全性
如何保护我们的密码安全
1.设定多套密码:重要系统(比如网银等金融相关的)和非重要系统(一些论坛、查阅为主的网页)的密码要分开,工作、生活、和理财账户使用不一样的密码,这样能减少风险。
2.不要到处乱贴自己的密码:到处贴密码不仅方便了自己,也往往方便了陌生人。
3.不要明文存储自己的密码:明文密码容易被外人获取。
4.采取统一认证:将需要登录的若干个系统,整合在一个地方。 比如能够用QQ或微信登录的地方,就不用再去另注册一个用户名和密码了。
5.重要系统不要只用密码认证:比如大家在登录网上银行的时候,可能还需要结合短信验证码、动态口令令牌、手机APP扫描等多种手段。
6.使用复杂的口令:首先密码的长度要长,至少8位以上。其次,密码不要纯粹的使用数字或字母,而是要数字、字母、特殊字符夹杂着使用。
7.使用替代语:建议你尝试使用谐音等替代语作为密码。这样只有你懂的代替语,别人即使看到了,也是一头雾水。
8.使用屏保/锁屏密码:设置屏保/锁屏等手势密码很重要,可以采用一些复杂但形象的方式,这样可以给你的设备双重的保障。
9.定期更换密码:有时候密码可能泄漏了我们却不知道。面对这种情况,就要定期更换一个密码。
10.密码太多,建议使用密码管理器工具:借助一些专业的密码管理软件,把各个地方的密码管理起来。当然,密码管理器也有一个主密码,你必须牢记主密码。
C. Web前端密码加密是否有意义
在前端对密码做一次MD5,看起来是防止明文传输了,事实上只有一种情况下它可以提高用户的安全性,那就是用户在别的网站上也用和你的网站一样的密码。并且在任何情况下都提高不了你自己网站的安全性。前面说的传输过程、内存里、日志里……这些地方没有明文密码,其实都只能保护用户本身的利益,对于自身服务的安全性是没有提高的。因为,既然传输过程不是加密的,那么包随便发,至于发一个abc123,还是发一个,对你的程序没有任何的区别,这时候你的程序都是小绵羊。这个过程可以看做,你的用户都用了32位字符串的密码,如是而已。从事实意义上讲,在所有网站上用同样密码的用户非常多,所以可以勉勉强强的说,这是有一丁丁点的意义的。但即使在前端做了签名,因为hash暴露了,也还是很容易被撞库。但是,对安全性没有提高,就不做了吗?当然要做,因为要应付审计。