Sil*_*eel 1 encryption encryption-symmetric
我们有一个典型的基于Web的登录系统.我们希望客户能够生成一个永不过期的"登录链接",并包含他们的密码.因此,我们希望创建一个包含加密形式密码的链接.注意:我知道最好的方法是查找表,其中每个链接都有一个唯一的密钥......我不会讨论为什么这对我们不起作用; 它不会.
我不熟悉公钥加密.也许这就是我需要的东西?
这就是我在想的.这仍然可能还不够,所以请告诉我:
定义:user-password是指链接中加密形式的用户密码.
我们不能对所有用户密码使用一个加密密钥,因为可以通过生成大量链接来导出加密密钥,因此......
使用标准形式的对称加密.
服务器具有包含1000个复杂加密密钥的文本文件.
当生成链接时(使用具有该列表的PHP脚本),选择1000个加密密钥中的一个加密其明文密码(按顺序选择,不是随机选择以防止在同一时间选择相同的密码) .
在加密用户密码之前,在其开头添加"s345lm34l5k342342343534432324sdfs"等内容,以"加密"它.(例如:password1变为s345lm34l5k342342343534432324sdfspassword1)."Salting"使得解密字典攻击变得更加困难.这种盐是保密的.但是,当然,它存在风险,它可以被破坏,它是所有密码的一个盐,所以......
此外,密码中还添加了第二个随机生成的盐.此盐使用单个强密码加密.因为salt和密码加密它是一个随机的字节模式,所以它更难确定盐.
链接制作工具只允许您每10分钟生成15个链接,然后锁定IP.
这样安全吗?
| 归档时间: |
|
| 查看次数: |
1708 次 |
| 最近记录: |