우리가 Gmail과 같은 웹 사이트에 로그인 할 때 비밀번호를 입력하면 Now Gmail은 Https 웹 사이트이므로 전송 중에 중간 공격에서 비밀번호를 스니핑 할 수 없습니다. SSL MITM이면 암호는 일반 텍스트로 표시됩니다.로그인하는 동안 비밀번호 암호화
로그인하는 동안 암호를 암호화하는 메커니즘이 있습니까? 예 : SSL MITM 후에도 공격자는 암호화 된 암호 만 가져옵니다.
이것은 자바 스크립트를 사용하는 클라이언트 측 기능입니다. 맞습니까?
하지만 클라이언트는 스크립트를 방지하거나 수정할 수 있습니다.
다른 메커니즘이 있습니까?
브라우저/서버에서 사용자 이름과 암호를 해싱 한 다음 비즈니스 계층에서 해시를 비교할 수 있습니다. 이렇게하면 MITM 공격을 방지하고 BO가 자격 증명의 유효성을 검사하도록 할 수 있습니다.
자바 스크립트를 사용할 수 있지만 사용자가 안전하게 자바 스크립트를 가져와 (2) 암호화 키를 교환해야합니다.
암호를 보호하는 데 약간의 가치가 있지만 SSL 세션이 손상되면 MITM은 세션과 모든 데이터를 하이재킹하거나 사용자가 암호를 변경하고 수집하도록 할 수 있습니다.
OpenId를 사용할 수 있지만 인증 문제 만 OpenId 서버로 옮깁니다. 여전히 사용자의 비밀을 서버로 가져 오는 방법이 필요합니다.
따라서 일반적으로 새로운 인증 쿠키를 설정하기 위해 SSL을 통한 일반 텍스트 암호를 사용하는 것이 좋습니다. 다른 것은 당신의 orignal 공유 비밀 문제 또는 작업 할 SSL이 아닌 웹 브라우저로 줄어 듭니다.
은행 사이트에서 이러한 보호 기능을 사용합니까 ??? SSL에 전적으로 의존합니까? –
비밀 번호 전송과 관련하여 SSL 만입니다. – Sam
나는 이것을 추가해야한다. 은행은 3 단계 로그인 프로세스를 사용한다 : 1) 로그인 이름을 제출하십시오. 은행은 3 가지 보안 질문에 응답합니다. 2) 보안 질문에 답변합니다. 은행은 비밀번호 필드와 사용자가 계정을 설정할 때 선택한 사진으로 응답합니다. 3) 그림이 예상 한 사전 선택된 그림 인 경우 사용자가 암호를 제출합니다. 일부 은행에서는 2 단계를 건너 뛰는 컴퓨터를 한 번만 "등록"합니다. 그러나 모든 데이터 전송은 SSL로 보호됩니다. 희망이 도움이됩니다! – Sam