我正在制作游戏而我只能请求页面。例如(login.php中的用户名=&为myuser放大器;密码=为mypass)
游戏也可以从php收到结果。
目前密码已加密。什么是实现安全登录方法的最佳方式?
感谢
答案 0 :(得分:6)
使用SSL。这将通过网络加密密码。
也不要发送原始密码。哈希并发送哈希值。
这仍然不会给你很大的安全性,因为散列密码仍然在浏览器历史记录中,可用于重放攻击。您可以使用质询 - 响应机制来缓解这种情况。让服务器包含一个大的随机字节序列(随机数)和登录页面,然后客户端可以使用此随机数对XOR密码散列进行异或并发送结果。服务器可以应用相同的XOR来获取原始哈希值。
SSL可以防止窃听,发送哈希会使随意攻击者的事情变得更加困难,并且nonce会阻止重放。这可能不是一个需要注意的完整列表,但这是一个开始。