SQL反模式学习笔记20 明文密码

2014-10-17 10:50:26 

目标:恢复或重置密码

 

反模式:使用明文存储密码

  1、存储密码

    使用明文存储密码或者在网络上传递密码是不安全的。

          如果攻击者截取到你用来插入(或者修改)密码的sql语句,就可以获得密码。

       黑客获取密码的方式有很多种:

    (1)在客户端和服务器端数据库交互的网络线路上接货数据包。比如使用Wireshark黑客软件。

    (2)在数据库服务器上搜索SQL的查询日志。

    (3)从服务器或者备份介质上读取数据库备份文件内的数据。

  2、验证密码:同上。

  3、在Email中发送密码:Email的收发都需要经由网络层传输,数据可能会在其他的路由节点上被黑客劫持。

 

如何识别反模式:当出现以下情况时,可能是反模式合理使用反模式:

  1、能够恢复你的密码;

  2、将密码通过邮件以明文或可逆转的加密的格式发给你的程序。

 

合理使用反模式

  1、你的程序可能需要使用密码来访问一个地第三方的服务,这意味着你的程序可能是一个客户端,

          必须使用可读的格式来存储这个密码。最好的做法是使用一些程序能够解码的加密方法来存储,

    而不是直接使用明文的方式存储在数据库中。

  2、并不是所有的程序都有被攻击的风险,也不是所有的程序都有敏感的程序需保护的信息。

    内文通讯的程序,只使用认证机制就可以了。

解决方案

  1、先加密再存储

         (1)哈希是指将输入字符串转换成为另一个新的、不可识别的字符串的函数。

                哈希算法是不可逆的。

   (2)在SQL中使用哈希

      哈希函数并是标准的SQL语言,因此你可能要依赖于所使用的数据库提供的哈希扩展。

               insert into Accounts(AccountId,AccountName,password)

               values(123,‘billKarwin‘,SHA2(‘xyzzy‘));---MySQL6.0.5的扩展函数

        (3)给哈希加料

       使用哈希值替换原来的明文密码,但是黑客仍然能够破解你的哈希值。通过他们预先准备好的自己的数据库,

                里面存储的可能的密码与对应的哈希值,然后比较久可以找出明文密码。

      预防这种“字典攻击”的一种方法是给你的密码加密表达式加点佐料。具体方法是在将用户密码传入哈希函数进行

               加密之前,将其和一个无意义的字符串拼接在一起。

               SHA2(‘password‘) = ‘5exxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd8‘;

               SHA2(‘password-0xT!sp9‘) = ‘72xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx5b‘;

               佐料的合理长度应该是8个字节。

    (4)在SQL中隐藏密码

                 只要不将明文密码放到SQL查询语句中,就能避免泄露。

                 具体做法:在程序代码中生成密码的哈希字符串,然后在SQL查询中使用哈希串。

    (5)在网络传输中,还有一个地方是攻击者有机会接货网络数据包的:在用户的浏览器和网站服务器之间。

                  当用户提交了一个登录表单时,浏览器将用户的密码以明文方式发送到服务器端,随后服务器端才能

                 使用这个密码进行哈希运算。

                 解决方法:在用户的浏览器发送表单数据之前就进行哈希运算。

                 但是这个方案也有一些不足的地方,就是你需要再进行正确的哈希运算之前,还要通过别的途径来获得和

                 这个密码相关联的佐料。这种方案是在从浏览器向服务器端提交表单密码时,使用安全的HTTP(https)链接。

  2、重置密码而不是恢复密码

 

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。