对于Web应用程序,当HTTPS不可用作安全措施时,是否仍然可以使登录有点安全?例如:
- Tokenize登录,难以重复攻击?
- 以某种方式加密从HTML密码字段发送的密码?
特别是我正在使用CakePHP和AJAX POST调用来触发身份验证(包括提供的用户名和密码).
问题更新:
- HTTPS不可用.期.如果您不喜欢这种情况,请将其视为一个理论问题.
- 没有明确的要求,你有任何HTTP,PHP和浏览器(cookies,JavaScript等)在现实生活中提供(没有神奇的RSA二进制文件,PGP插件).
- 问题是,什么是最好的,你可以摆脱这种情况,这比发送密码明文更好.了解每种此类解决方案的缺点是有利的.
- 我们欢迎任何比普通密码更好的改进.我们的目标不是100%l33tG0Dhx0r-proff解决方案.难以破解比破解复杂更好,这比揭露密码的琐碎嗅探更好.