密码安全

密码安全

密码的作用---证明是你
密码的存储
密码的传输
密码的替代方案
生物特征密码的问题

密码-泄露渠道

• 数据库被偷
• 服务器被入侵
• 通讯被窃听
• 内部人员泄露数据库
• 其它网站（撞库）

密码-存储

• 严禁明文存储（防泄漏）
• 单向变换（防泄漏）
• 变换复杂度要求（防猜解）
• 密码复杂度要求（防猜解）
• 加盐（防猜解）

密码-哈希算法

• 明文-密文---一一对应
• 雪崩效应
• 密文明文 无法反推
• 密文固定长度
• 常见哈希算法：md5,sha1,sha256

加密次数越多，复杂度越大，就越可以对抗彩虹表

密码-变换次数越多越安全

• 加密成本几乎不变（生成密码时速度慢一些，但对破解者是致命的）
• 彩虹表失效（数量太大，无法建立通用性）
• 解密成本增大 N 倍

传说以前出现密码明文存储被泄露的案例（无法确定）

加密

var password = {};
var md5 = function(str) {
    var crypto = require('crypto');
    var md5Hash = crypto.createHash('md5');
    md5Hash.update(str);
    return md5Hash.digest('hex');
};

password.getSalt = function() {
    return md5(Math.random()*99999+''+new Data().getTime());
}

password.encryptoPassword = function(salt, password) {
    return md5(salt + 'af@#$%^asda&' + password);
}
module.exports = password;

密码验证

// 如果用户没有salt，需要升级
if (!user.salt) {
  var salt = password.getSalt();
  var newPassword = password.encryptPassword(salt, user.password);
  await query(
    `update user set password = '$(newPassword)', salt = '${salt} where id = ${user.id}'`
  );
  user.salt = salt;
  user.password = newPassword;
}
var encryptPassword = password.encryptPassword(user.salt, data.password);
if (encryptPassword !== user.password) {
  throw new Error("密码不正确");
}

密码传输的安全性

• https 传输
• 频率限制
• 前端加密意义有限

在前端加密需要安装js-md5模块，运行jspm install node:js-md5

前端进行加密,这是前后端要有相同的盐 SUGAR

var SUGAR = "！@#￥@#@￥#￥%GDF456￥%";
daat.password = md5(data.username + SUGAR + data.password);

var password = {};
var md5 = function(str) {
    var crypto = require('crypto');
    var md5Hash = crypto.createHash('md5');
    md5Hash.update(str);
    return md5Hash.digest('hex');
};

password.getPasswordFromText = function(username, password) {
   var SUGAR = '！@#￥@#@￥#￥%GDF456￥%';//与前端一致
   return md5(username+ SUGAR + password);
};

password.getSalt = function() {
    return md5(Math.random()*99999+''+new Data().getTime());
}

password.encryptoPassword = function(salt, password) {

    return md5(salt + 'af@#$%^asda&' + password);
}
module.exports = password;

if (!user.salt) {
  var salt = password.getSalt();
  var newPassword = password.getPasswordFromText(user.username, user.password);
  var encryptedPassword = password.encryptPassword(salt, newPassword);
  await query(
    `update user set password = '$(newPassword)', salt = '${salt} where id = ${user.id}'`
  );
  user.salt = salt;
  user.password = encryptedPassword;
}
var encryptPassword = password.encryptPassword(user.salt, data.password);
if (encryptPassword !== user.password) {
  throw new Error("密码不正确");
}

生物特征密码

• 指纹（唇纹）
• 声纹
• 虹膜
• 人脸

生物特征密码

• 私密性-容易泄露
• 安全性-碰撞
• 唯一性-终身唯一无法修改