当我们登录Gmail这样的网站时,我们提供了密码,现在Gmail是一个Https网站,因此在运输过程中,人员在中间攻击时无法嗅探密码,如果有SSL MITM,则密码为在明文中看到。
是否有一种机制可以在登录期间对密码进行加密,即使在SSL MITM之后,攻击者也只会获得加密密码。
这是使用javascripts的客户端功能,对吗?
但客户可以再次选择阻止或修改脚本。
或者还有其他机制吗?
答案 0 :(得分:0)
您可以在浏览器/服务器上哈希用户名和密码,然后在业务层比较哈希值。这将阻止MITM攻击,并允许BO验证凭据。
答案 1 :(得分:0)
您可以使用Javascript,但是您(1)必须安全地向用户提供Javascript并且(2)交换密钥以进行加密。
虽然保护密码有一定的价值,但如果SSL会话遭到破坏,MITM可以劫持会话和所有数据,或者提示用户更改密码并收集密码。
您可以使用OpenId,但之后只会将身份验证问题移到OpenId服务器上。您仍然需要一种方法来获取用户对服务器的秘密。
因此,通常情况下,通过SSL建立新的经过身份验证的会话cookie的明文密码是可行的方法。其他任何事情都会减少到您的orignal共享密钥问题或Web浏览器除了SSL之外什么都没有。