密码的安全性问题 - 笔记

《Using one-time passwords to prevent password phishing attacks》

讲说可以使用一次性的密码，当用户注册时候，通过用户填写的联系方式，如手机或者email来发送一次性密码。之后的登录貌似也是一样的。

 《Kamouflage Loss-Resistant Password Management》

斯坦福的。讲说一般的系统都只存储用户的密码S。他们提出一个框架是存储S + （N-1）个S的变种，认为当用户设备被盗时，黑客破解的时间会增加。不过没看完这篇，跟我们的需求不符。

 

Digest access authentication

It applies a hash function to a password before sending it over the network, which is safer than basic access authentication, which sends plaintext.Technically, digest authentication is an application of MD5 cryptographic hashing with usage of nonce values to prevent replay attacks. It uses the HTTP protocol.

 

密码传输问题

http://zhuoqiang.me/password-transport.html

提到几种方式：

①HTTPS

②客户端md5后传给server端，但是这样不能防止黑客直接使用散列后的MD5值来通过server端的认证。

改进的方法：server端传给客户端一个随机值做salt，然后使用salt和之前的MD5值再进行MD5。但是这样也存在漏洞，就是黑客可以劫持session。

③使用软键盘或者自己写一个密码输入的客户端……