我正在考虑使用以下方法实现安全用户身份验证。 那么如何开始询问用户名并将其提交给服务器。提交时,服务器将查找与该用户相关的密码。它会为它添加一些值(比如时间戳或任何其他可以返回给客户端的附加值)。它会使用一些公钥算法对其进行加密,并将其发送回客户端。现在将提示客户端输入密码。现在,当用户输入密码并提交时,密码值将附加相同的值,该值附加到服务器中的密码;使用相同的公钥算法生成加密的字符串,并与从服务器接收的值进行比较。它们是相同的,用户经过身份验证并且可以创建会话,否则会失败。
我想知道这种方法在性能方面是否可行和有效;并且违反这种方法是多么困难。
答案 0 :(得分:2)
此协议非常糟糕,因为它允许攻击者使用脱机方法破解密码。这意味着攻击者只能向服务器发送一个请求,他将收到加密密码+ timstamp(基本上是密码的哈希),然后他就可以脱机强制密码了。使用好的字典,一套好的规则和一些GPU,这可以很容易地完成。
实际上,服务器不应该向客户端发送任何与密码相关的信息("密码正确"或"密码不正确")。