客户端密码加密[重复]
Posted
技术标签:
【中文标题】客户端密码加密[重复]【英文标题】:Password encryption at client side [duplicate] 【发布时间】:2011-05-06 12:25:16 【问题描述】:可能重复:About password hashing system on client side
我必须保护我的网站用户的密码。我所做的是在服务器端使用 MD5 加密 散列。但问题是密码在到达服务器之前一直是纯文本的,这意味着可以使用流量监控来捕获密码。所以我想要的是使用客户端密码加密/散列机制并发送加密/散列密码。
谁能告诉我这样做的方法是什么?
【问题讨论】:
MD5 未加密。根据定义,加密的东西可以被解密 真正的加雷斯。 MD5 是一种单向加密哈希算法,它不是加密,因为正如您正确指出的那样,它不能使用公式解密。它只能被蛮力攻击或检查已知哈希表。 是的,当您存储密码的 MD5 哈希(或任何其他类型的哈希)时,永远不要忘记使用盐! (owasp.org/index.php/Hashing_Java#Why_add_salt_.3F) 请记住,MD5 也已损坏。见这里win.tue.nl/hash***/rogue-ca它可以用不同的数据创建相同的MD5 它不是重复的,另一个问题是关于散列的,这个问题是关于加密的。尽管一些不懂技术的人建议散列作为解决方案,但它非常不同; 【参考方案1】:您需要一个可以在客户端加密您的输入并以加密形式将其传输到服务器的库。
您可以使用以下库:
jCryption。基于 javascript 的客户端-服务器非对称加密3 年后更新(2013 年):
Stanford Javascript Crypto Library4 年后更新(2014 年):
CryptoJS - Easy to use encryption ForgeJS - Pretty much covers it all OpenPGP.JS - Put the OpenPGP format everywhere - 在 JS 中运行,因此您可以在您的网络应用程序、移动应用程序等中使用它。【讨论】:
正是他需要的,很好的答案。 +1 作为这里唯一的答案,它实际上提供了 OP 想要的解决方案(即客户端加密) 谢谢你们 :) 我试图说明这一点。 不幸的是,使用 JavaScript 客户端加密或散列会生成这样的系统 rather insecure。见:matasano.com/articles/javascript-cryptography @Bruno,听起来很有趣。我没有考虑过这些问题。【参考方案2】:您已使用ssl 标签标记了这个问题,而 SSL 就是答案。好奇。
【讨论】:
【参考方案3】:我会选择this simple solution。
总结一下:
客户端“我要登录” 服务器生成一个随机数#S并发送给客户端
客户端
读取用户输入的用户名和密码
计算密码的哈希值,得到h(pw)(存储在数据库中)
生成另一个随机数#C
连接h(pw) + #S + #C并计算其哈希值,称之为h(all)
发送到服务器username、#C和h(all)
服务器
从 DB 中检索指定 username 的 h(pw)'
现在它具有计算 h(all') 的所有元素,就像客户端所做的那样
如果h(all) = h(all') 然后h(pw) = h(pw)',几乎可以肯定
任何人都不能重复请求以指定用户身份登录。 #S 每次都会向哈希添加一个变量组件(这是基本的)。 #C 在其中添加了额外的噪音。
【讨论】:
伙计,我不得不说这个线程太棒了,我很激动,你的回答被低估了,当然虽然很简单解释了一个基本概念。我和原作者有类似的情况,我想问你一些关于你的解决方案的问题。 谢谢!如果随机数足够大,我认为机会非常低。只需对源字符串进行最小更改(在我们的例子中,每次登录为 2 个新的随机数)就会产生完全不同的哈希值。此外,如果源字符串不在字典中,则反向哈希非常困难。但也许比我更专业的人可以提供帮助。 它仍然容易受到中间人的攻击。如果没有 SSL/TLS,它将永远不会 100% 安全。如果您可以截获包含username、#C 和h(all) 的最终查询,您只需将其发送到客户端并登录即可。
您能否在时间窗口(即 http 请求的“分钟”)内重复加盐哈希,以减少中间人攻击的机会,因为服务器会根据超时拒绝无效哈希?
没有什么能阻止中间人向您发送他们自己的号码,甚至为您提供完全不同的自定义 JavaScript 代码,这些代码只会以纯文本形式传递密码。简而言之,如果没有 SSL,所有尝试都只会混淆数据,以供随便的脚本小子使用。我同意这可以说仍然比仅发送纯文本更好,但根本没有办法在 HTTP 连接上向坚定的攻击者隐藏信息。【参考方案4】:
对于类似的情况,我使用了来自 RSA 实验室的 PKCS #5: Password-Based Cryptography Standard。您可以避免存储密码,方法是用只能从密码生成的东西(一句话)代替它。有一些 JavaScript 实现。
【讨论】:
【参考方案5】:我在底部列出了用于创建 MD5 的完整 JavaScript,但由于多种原因,如果没有安全连接,它真的毫无意义。
如果您 MD5 密码并将该 MD5 存储在您的数据库中,那么 MD5 就是密码。人们可以准确地知道您的数据库中有什么。您实际上只是将密码设置为更长的字符串,但如果这是您存储在数据库中的内容,它仍然不安全。
如果你说,“好吧,我会 MD5 MD5”,你就没有抓住重点。通过查看网络流量或查看您的数据库,我可以欺骗您的网站并将其发送 MD5。当然,这比仅重用纯文本密码要困难得多,但它仍然是一个安全漏洞。
最重要的是,尽管您不能在不通过未加密的网络发送盐的情况下对哈希客户端进行加盐,因此使加盐毫无意义。在没有盐或已知盐的情况下,我可以暴力攻击哈希并找出密码是什么。
如果您打算对未加密的传输进行此类操作,您需要使用公钥/私钥加密技术。客户端使用你的公钥加密,然后你用你的私钥解密你的密码然后你 MD5 密码(使用用户唯一的盐)并将其存储在你的数据库中。这里是a JavaScript GPL public/private key library。
无论如何,这里是创建 MD5 客户端的 JavaScript 代码(不是我的代码):
/**
*
* MD5 (Message-Digest Algorithm)
* http://www.webtoolkit.info/
*
**/
var MD5 = function (string)
function RotateLeft(lValue, iShiftBits)
return (lValue<<iShiftBits) | (lValue>>>(32-iShiftBits));
function AddUnsigned(lX,lY)
var lX4,lY4,lX8,lY8,lResult;
lX8 = (lX & 0x80000000);
lY8 = (lY & 0x80000000);
lX4 = (lX & 0x40000000);
lY4 = (lY & 0x40000000);
lResult = (lX & 0x3FFFFFFF)+(lY & 0x3FFFFFFF);
if (lX4 & lY4)
return (lResult ^ 0x80000000 ^ lX8 ^ lY8);
if (lX4 | lY4)
if (lResult & 0x40000000)
return (lResult ^ 0xC0000000 ^ lX8 ^ lY8);
else
return (lResult ^ 0x40000000 ^ lX8 ^ lY8);
else
return (lResult ^ lX8 ^ lY8);
function F(x,y,z) return (x & y) | ((~x) & z);
function G(x,y,z) return (x & z) | (y & (~z));
function H(x,y,z) return (x ^ y ^ z);
function I(x,y,z) return (y ^ (x | (~z)));
function FF(a,b,c,d,x,s,ac)
a = AddUnsigned(a, AddUnsigned(AddUnsigned(F(b, c, d), x), ac));
return AddUnsigned(RotateLeft(a, s), b);
;
function GG(a,b,c,d,x,s,ac)
a = AddUnsigned(a, AddUnsigned(AddUnsigned(G(b, c, d), x), ac));
return AddUnsigned(RotateLeft(a, s), b);
;
function HH(a,b,c,d,x,s,ac)
a = AddUnsigned(a, AddUnsigned(AddUnsigned(H(b, c, d), x), ac));
return AddUnsigned(RotateLeft(a, s), b);
;
function II(a,b,c,d,x,s,ac)
a = AddUnsigned(a, AddUnsigned(AddUnsigned(I(b, c, d), x), ac));
return AddUnsigned(RotateLeft(a, s), b);
;
function ConvertToWordArray(string)
var lWordCount;
var lMessageLength = string.length;
var lNumberOfWords_temp1=lMessageLength + 8;
var lNumberOfWords_temp2=(lNumberOfWords_temp1-(lNumberOfWords_temp1 % 64))/64;
var lNumberOfWords = (lNumberOfWords_temp2+1)*16;
var lWordArray=Array(lNumberOfWords-1);
var lBytePosition = 0;
var lByteCount = 0;
while ( lByteCount < lMessageLength )
lWordCount = (lByteCount-(lByteCount % 4))/4;
lBytePosition = (lByteCount % 4)*8;
lWordArray[lWordCount] = (lWordArray[lWordCount] | (string.charCodeAt(lByteCount)<<lBytePosition));
lByteCount++;
lWordCount = (lByteCount-(lByteCount % 4))/4;
lBytePosition = (lByteCount % 4)*8;
lWordArray[lWordCount] = lWordArray[lWordCount] | (0x80<<lBytePosition);
lWordArray[lNumberOfWords-2] = lMessageLength<<3;
lWordArray[lNumberOfWords-1] = lMessageLength>>>29;
return lWordArray;
;
function WordToHex(lValue)
var WordToHexValue="",WordToHexValue_temp="",lByte,lCount;
for (lCount = 0;lCount<=3;lCount++)
lByte = (lValue>>>(lCount*8)) & 255;
WordToHexValue_temp = "0" + lByte.toString(16);
WordToHexValue = WordToHexValue + WordToHexValue_temp.substr(WordToHexValue_temp.length-2,2);
return WordToHexValue;
;
function Utf8Encode(string)
string = string.replace(/\r\n/g,"\n");
var utftext = "";
for (var n = 0; n < string.length; n++)
var c = string.charCodeAt(n);
if (c < 128)
utftext += String.fromCharCode(c);
else if((c > 127) && (c < 2048))
utftext += String.fromCharCode((c >> 6) | 192);
utftext += String.fromCharCode((c & 63) | 128);
else
utftext += String.fromCharCode((c >> 12) | 224);
utftext += String.fromCharCode(((c >> 6) & 63) | 128);
utftext += String.fromCharCode((c & 63) | 128);
return utftext;
;
var x=Array();
var k,AA,BB,CC,DD,a,b,c,d;
var S11=7, S12=12, S13=17, S14=22;
var S21=5, S22=9 , S23=14, S24=20;
var S31=4, S32=11, S33=16, S34=23;
var S41=6, S42=10, S43=15, S44=21;
string = Utf8Encode(string);
x = ConvertToWordArray(string);
a = 0x67452301; b = 0xEFCDAB89; c = 0x98BADCFE; d = 0x10325476;
for (k=0;k<x.length;k+=16)
AA=a; BB=b; CC=c; DD=d;
a=FF(a,b,c,d,x[k+0], S11,0xD76AA478);
d=FF(d,a,b,c,x[k+1], S12,0xE8C7B756);
c=FF(c,d,a,b,x[k+2], S13,0x242070DB);
b=FF(b,c,d,a,x[k+3], S14,0xC1BDCEEE);
a=FF(a,b,c,d,x[k+4], S11,0xF57C0FAF);
d=FF(d,a,b,c,x[k+5], S12,0x4787C62A);
c=FF(c,d,a,b,x[k+6], S13,0xA8304613);
b=FF(b,c,d,a,x[k+7], S14,0xFD469501);
a=FF(a,b,c,d,x[k+8], S11,0x698098D8);
d=FF(d,a,b,c,x[k+9], S12,0x8B44F7AF);
c=FF(c,d,a,b,x[k+10],S13,0xFFFF5BB1);
b=FF(b,c,d,a,x[k+11],S14,0x895CD7BE);
a=FF(a,b,c,d,x[k+12],S11,0x6B901122);
d=FF(d,a,b,c,x[k+13],S12,0xFD987193);
c=FF(c,d,a,b,x[k+14],S13,0xA679438E);
b=FF(b,c,d,a,x[k+15],S14,0x49B40821);
a=GG(a,b,c,d,x[k+1], S21,0xF61E2562);
d=GG(d,a,b,c,x[k+6], S22,0xC040B340);
c=GG(c,d,a,b,x[k+11],S23,0x265E5A51);
b=GG(b,c,d,a,x[k+0], S24,0xE9B6C7AA);
a=GG(a,b,c,d,x[k+5], S21,0xD62F105D);
d=GG(d,a,b,c,x[k+10],S22,0x2441453);
c=GG(c,d,a,b,x[k+15],S23,0xD8A1E681);
b=GG(b,c,d,a,x[k+4], S24,0xE7D3FBC8);
a=GG(a,b,c,d,x[k+9], S21,0x21E1CDE6);
d=GG(d,a,b,c,x[k+14],S22,0xC33707D6);
c=GG(c,d,a,b,x[k+3], S23,0xF4D50D87);
b=GG(b,c,d,a,x[k+8], S24,0x455A14ED);
a=GG(a,b,c,d,x[k+13],S21,0xA9E3E905);
d=GG(d,a,b,c,x[k+2], S22,0xFCEFA3F8);
c=GG(c,d,a,b,x[k+7], S23,0x676F02D9);
b=GG(b,c,d,a,x[k+12],S24,0x8D2A4C8A);
a=HH(a,b,c,d,x[k+5], S31,0xFFFA3942);
d=HH(d,a,b,c,x[k+8], S32,0x8771F681);
c=HH(c,d,a,b,x[k+11],S33,0x6D9D6122);
b=HH(b,c,d,a,x[k+14],S34,0xFDE5380C);
a=HH(a,b,c,d,x[k+1], S31,0xA4BEEA44);
d=HH(d,a,b,c,x[k+4], S32,0x4BDECFA9);
c=HH(c,d,a,b,x[k+7], S33,0xF6BB4B60);
b=HH(b,c,d,a,x[k+10],S34,0xBEBFBC70);
a=HH(a,b,c,d,x[k+13],S31,0x289B7EC6);
d=HH(d,a,b,c,x[k+0], S32,0xEAA127FA);
c=HH(c,d,a,b,x[k+3], S33,0xD4EF3085);
b=HH(b,c,d,a,x[k+6], S34,0x4881D05);
a=HH(a,b,c,d,x[k+9], S31,0xD9D4D039);
d=HH(d,a,b,c,x[k+12],S32,0xE6DB99E5);
c=HH(c,d,a,b,x[k+15],S33,0x1FA27CF8);
b=HH(b,c,d,a,x[k+2], S34,0xC4AC5665);
a=II(a,b,c,d,x[k+0], S41,0xF4292244);
d=II(d,a,b,c,x[k+7], S42,0x432AFF97);
c=II(c,d,a,b,x[k+14],S43,0xAB9423A7);
b=II(b,c,d,a,x[k+5], S44,0xFC93A039);
a=II(a,b,c,d,x[k+12],S41,0x655B59C3);
d=II(d,a,b,c,x[k+3], S42,0x8F0CCC92);
c=II(c,d,a,b,x[k+10],S43,0xFFEFF47D);
b=II(b,c,d,a,x[k+1], S44,0x85845DD1);
a=II(a,b,c,d,x[k+8], S41,0x6FA87E4F);
d=II(d,a,b,c,x[k+15],S42,0xFE2CE6E0);
c=II(c,d,a,b,x[k+6], S43,0xA3014314);
b=II(b,c,d,a,x[k+13],S44,0x4E0811A1);
a=II(a,b,c,d,x[k+4], S41,0xF7537E82);
d=II(d,a,b,c,x[k+11],S42,0xBD3AF235);
c=II(c,d,a,b,x[k+2], S43,0x2AD7D2BB);
b=II(b,c,d,a,x[k+9], S44,0xEB86D391);
a=AddUnsigned(a,AA);
b=AddUnsigned(b,BB);
c=AddUnsigned(c,CC);
d=AddUnsigned(d,DD);
var temp = WordToHex(a)+WordToHex(b)+WordToHex(c)+WordToHex(d);
return temp.toLowerCase();
【讨论】:
没问题。当人们不回答问题时,这是我的一个小烦恼,即使答案是个坏主意。我什至写了一篇关于它的博客文章:picklepumpers.com/wordpress/?p=673 @Mike 请让我指出,您在抱怨缺乏沟通技巧,但却完全误解了 OP 关于 SSL 的要求和知识。人际沟通是一件非常错误和脆弱的事情,沟通技巧需要双向。 :) @deceze 感谢您的回复,您是正确的。我认为他不能使用 SSL,因为他说他没有使用它。我的错。评判别人时,看看自己永远不会有坏处。 +1 进行建设性的自省。 :o) 根本没有不好的答案。所有你的 cmets 即使其中一些不是我真正期望的解决方案,但它们仍然大大提高了我的知识。所以继续发布你认为的解决方案。再次感谢迈克:)【参考方案6】:您也可以简单地将http authentication 与Digest 一起使用(Here some infos if you use Apache httpd、Apache Tomcat、and here an explanation of digest)。
对于 Java,有关有趣的信息,请查看:
Understanding Login Authentication HTTP Digest Authentication Request & Response Examples HTTP Authentication Woes Basic Authentication For JSP Page(不是摘要,但我认为这是一个有趣的来源)【讨论】:
谢谢。哪个更容易实现,HTTPS 还是 HTTP Digest? HTTP Digest 机制中是否有与 HTTPS 一样的证书? 视情况而定。 HTTPS 和 Digest 可以互补。 Digest 只是一种验证客户端并检查他的密码是否正确的方法,而无需通过网络在服务器和客户端之间以明文形式交换密码。这不需要证书,因为它不加密任何内容,并且不使用任何类型的非对称加密。服务器只需使用加密工具(如 MD5)挑战客户端进行检查。如果您查看链接“了解登录身份验证”(download.oracle.com/javaee/1.4/tutorial/doc/Security5.html),您会更容易处理它^^ @dinesh:不,没有 HTTP Digest 证书。摘要式身份验证实现起来更简单,但是 1)你不能为你的用户提供漂亮的登录表单,2)它只解决了身份验证部分,但它不保护传输的数据(SSL 可以)。 对我来说,Digest 可能很有趣,因为您不必操作证书,这是很多工作和/或金钱):支付批准 CA,或在您的 CA 上部署您的证书客户端,并且它使您的服务器超载(加密是您的处理器的成本)。平均 1 个 SSL 客户端会为您的服务器负载花费 10 个非 SSL 客户端。但是 Digest 不加密任何东西!客户端和服务器之间通过网络交换的所有其他数据都是清晰的。您主要担心的不是实施的复杂性,而是您操作的数据的机密性级别。【参考方案7】:这种保护通常是通过使用HTTPS 来提供的,因此网络服务器和客户端之间的所有通信都是加密的。
如何实现这一点的具体说明取决于您的网络服务器。
Apache 文档中有一个SSL Configuration HOW-TO 指南,可能会有所帮助。 (感谢用户G. Qyy提供链接)
【讨论】:
@Mike 他在哪里说的?我在任何编辑或任何 cmets 中都看不到它。 这并不是说他不能使用HTTPS,只是他目前不会 @Mike 发帖人不是说他不能使用 https,只是他现在还没有。 @Mike SSL 是当今网络基本基础架构的重要组成部分。如果您不能使用 SSL,那么您有一个需要修复的基础架构问题。在忽略纯文本流量的基本问题的情况下使用客户端加密做一些歌曲和舞蹈并不能解决任何问题。因此,“获得 SSL”是答案。 我完全同意你们的观点,他应该获得 SSL 连接,但这不是他的问题。他的问题是,“如何通过不安全的连接保护密码?”我认为回答问题的正确方法是实际回答问题并解释为什么这是一个坏主意。当你只是告诉人们,“那是个坏主意。”他们不再听了。但如果你给他们绳子,然后解释为什么上吊是个坏主意,他们往往会听,因为他们不觉得你忽略了他们的问题。【参考方案8】:这并不安全,原因很简单:
如果您在客户端散列密码并使用该令牌而不是密码,那么攻击者将不太可能找出密码是什么。
但是,攻击者需要找出密码是什么,因为您的服务器不再需要密码 - 它需要令牌。并且攻击者确实知道令牌,因为它是通过未加密的 HTTP 发送的!
现在,可以将某种挑战/响应形式的加密组合在一起,这意味着相同的密码将在每个请求中产生不同的令牌。但是,这将要求密码以可解密的格式存储在服务器上,这并不理想,但可能是一种合适的折衷方案。
最后,您真的要要求用户在登录您的网站之前打开 javascript 吗?
无论如何,SSL 不再是一种昂贵或特别难以设置的解决方案
【讨论】:
+1 用于解释为什么这个想法存在根本缺陷。在这种情况下,SSL / TLS 是最好的选择。 不,攻击者不必使用登录页面。 Web 表单是一种构建 Web 请求以发送到服务器的方式,但它不是唯一的方式。有很多方法可以连接到服务器并重现请求,就好像它是由 Web 浏览器执行的一样 可以在服务器上以可解密格式存储密码的情况下“破解某种挑战/响应”:查看 http 摘要身份验证 (en.wikipedia.org/wiki/… / tools.ietf.org/html/rfc2617#section-3.3)。 RFC 对此表示:“请注意,HTTP 服务器实际上并不需要知道用户的明文密码。” 啊..那么客户端加密机制不会是一个好的解决方案.. 没错,这并不能保护您的服务器。然而,它是保护您的客户(即您的用户或客户),恕我直言,这与大多数用户的密码错误并且经常重复使用它们一样重要。因此,他们对各种攻击敞开心扉。 IMO 这使得上述批评变得毫无意义。【参考方案9】:有可用于 javascript 的 MD5 库。请记住,如果您需要支持没有可用 javascript 的用户,此解决方案将不起作用。
更常见的解决方案是使用 HTTPS。使用 HTTPS,您的 Web 服务器和客户端之间会协商 SSL 加密,从而透明地加密所有流量。
【讨论】:
他不能使用 HTTPS。他在回答中这么说。 @MikeBethany 他没有说这样的话,无论是在他的回答中还是在其他任何地方。 服务器解密 SSL 加密 - 将乱码转回纯文本。当然,SSL 可以让您免于在以太中窥探,但不会阻止服务器以纯文本形式获取密码。以上是关于客户端密码加密[重复]的主要内容,如果未能解决你的问题,请参考以下文章