我写了一个简单的演示html(启用SSL)表单来访问一些大学服务。它要求用户首先使用他的大学ID登录。
我的问题是,如何加密登录数据,即使是我这个页面的拥有者?可能吗 ?这样用户就可以自信地使用它了。
答案 0 :(得分:2)
您可以使用HTTP摘要式身份验证来执行质询 - 响应身份验证,并始终发送密码哈希值。
Digest的问题在于它的用户界面很难看,并且注销会留给浏览器(你不能拥有可靠的注销链接)。
或者,您可以在JavaScript中实现自己的质询 - 响应机制,例如: http://code.google.com/p/crypto-js/
但是这是毫无意义的,因为用户无法保证您正在这样做,并且您将来不会用不安全的脚本替换安全脚本。作为网站所有者(或攻击您网站的人),您可以随时更改脚本并“窃取”密码。
SSL很好。这是客户端可以做到的最好的真正安全性。
您可以确保在服务器端安全地存储密码 - 使用缓慢的哈希(例如bcrypt( not md5 / sha1))对其进行哈希处理,并为每个密码使用唯一的salt。