web密碼加密

A. Web前端密碼加密是否有意義

沒有意義

---

密碼前端的加密根本沒有意義，密碼系統的安全性沒有提高，但會造成不必要的麻煩。

首先，前端開發人員需要知道前端系統的控制完全掌握在用戶手中，也就是說前端所做的事情和用戶擁有完全的控制。據稱，前端做了MD5，後台不必做，這種方法會有什麼後果？如果有一天，系統資料庫泄露，黑客直接獲得每個用戶的密碼的MD5值，但這一次，因為黑客知道密碼的哈希的前面，所以他不需要鼓風的MD5對應什麼是原創，而是直接修改發送到伺服器的客戶端請求的在它的資料庫密碼欄位MD5，符合資料庫中的記錄，你可以直接登錄。這與直接存儲明文密碼沒有區別！！！所以不管前端密碼是否加密，後台使用哈希演算法的安全內容轉換都是必要的。（MD5不能使用BCrypt的，我以前回答類似：用圖形表現，當前快速發展的快速哈希演算法已成為不安全嗎？）有一個人同意這個答案，我希望你不要被錯誤的答案誤導。對方的回答，Linh說，是為了防止原始密碼被利用在一個不安全的HTTP連接。但問題是，因為你的登錄系統接受密碼代替原來的，竊聽者根本不需要原始密碼，只要哈希結果可以偽造請求登錄系統。這樣做只會防止攻擊者在社交攻擊時使用原始密碼，而不會提高網站的安全性。所以不管前面密碼是不是加密的，使用HTTPS安全連接登錄都是很有必要的。

B. Web前端密碼加密是否有意義

密碼在前端加密完全沒有意義，對密碼系統的安全性不會有任何提高，反而會引發不必要的麻煩。首先，做前端開發的人需要知道，前端系統的控制權是完全在用戶手裡的，也就是說，前端做什麼事情，用戶有完全的控制權。假設如同 @陳軒所說，前端做過了md5，後台就不用做了，這個做法會有什麼後果？如果某一天，這個系統的資料庫泄露了，黑客就直接拿到了每個用戶的密碼md5值，但此時，由於黑客知道密碼是在前端進行哈希的，所以他不需要爆破出該md5對應的原文是什麼，而是直接修改客戶端向伺服器發出的請求，把密碼欄位換成資料庫中MD5就可以了，由於與資料庫中記錄一致，直接就會登錄成功。這跟直接存儲明文密碼沒有任何區別！！！所以不管前端是不是加密了密碼，後台使用安全的哈希演算法對內容再次轉換是非常有必要的。（MD5可不行，要用bcrypt，我之前回答過一個類似的：隨著顯卡性能的高速發展，目前的快速Hash演算法是否已經變得不夠安全了？）這個回答還有一個人贊同，希望大家別被錯誤答案誤導了。另外一個答案 @林鴻所說，在非安全HTTP連接上，可以防止原始密碼被竊聽。但問題在於由於你的登錄系統接受的哈希過的密碼，而不是原文，竊聽者根本不需要原始密碼，只要通過哈希結果就可以偽造請求登錄系統。這樣做只能防止被竊聽到原文的密碼被攻擊者用在社會學攻擊上，而不能改善該網站的安全性。所以不管前端是不是加密了密碼，使用HTTPS安全連接進行登錄都是非常有必要的。以上我說的兩點，合起來看就是：不管前端是否加密了密碼，都不能以此為假設，讓後端設計的安全等級下降，否則就會有嚴重的安全問題。實際上，前端進行密碼加密，可以看做幫助用戶多進行了一次原文的轉換，不管用了什麼加密演算法，算出來的結果都是密碼原文，你該如何保護用戶的原始密碼，就該如何保護此處的加密結果，因為對你的登錄系統來說，它們都是密碼原文。以上這些，說明了密碼加密是沒有什麼意義的，接下來，我要說明前端加密會帶來什麼問題。有些人會認為前端進行了加密，可以降低後台的安全性需求，這種錯誤的觀念會造成系統的安全漏洞。實際上，你不能對前端做任何的假設，所有跟安全相關的技術，都必須應用在後台上。前端進行加密會造成頁面需要js腳本才能運行，那麼假設你的系統需要兼容不能運行js的客戶端，就必須再設計一個使用原文的登錄介面。由於前端是不是加密，所有安全機制都必須照常應用，所以為系統增加這樣的復雜性是完全沒必要的，即使傳輸明文密碼，只要正確使用了HTTPS連接和伺服器端安全的哈希演算法，密碼系統都可以是很安全的。

C. Web前端密碼加密是否有意義

在前端對密碼做一次MD5，看起來是防止明文傳輸了，事實上只有一種情況下它可以提高用戶的安全性，那就是用戶在別的網站上也用和你的網站一樣的密碼。並且在任何情況下都提高不了你自己網站的安全性。前面說的傳輸過程、內存里、日誌里……這些地方沒有明文密碼，其實都只能保護用戶本身的利益，對於自身服務的安全性是沒有提高的。因為，既然傳輸過程不是加密的，那麼包隨便發，至於發一個abc123，還是發一個，對你的程序沒有任何的區別，這時候你的程序都是小綿羊。這個過程可以看做，你的用戶都用了32位字元串的密碼，如是而已。從事實意義上講，在所有網站上用同樣密碼的用戶非常多，所以可以勉勉強強的說，這是有一丁丁點的意義的。但即使在前端做了簽名，因為hash暴露了，也還是很容易被撞庫。但是，對安全性沒有提高，就不做了嗎？當然要做，因為要應付審計。

D. javaweb關於客戶端密碼md5加密後被抓包工具抓取的問題

你描述的問題有點像CSRF攻擊，而且你提出來的辦法有一定的局限性，比如說如果黑客是同一個區域網的人，這種判斷ip地址的方法可能會失效。
其實只要使用https就不存在這種問題，就算是中間被人截取了加密的密碼，然後用加密的密碼提交表單，最後與後台資料庫匹配成功也沒有用。因為匹配成功之後，服務端給黑客發送的信息也是經過加密的，但是黑客是不知道密鑰，不知道如何對這段信息進行解密，所以不會登陸成功的。這把密鑰只有客戶端和服務端知道，所有題主擔心的問題用https能夠解決，這是我的一點見解。

E. HTTPS通信時,Web伺服器收到加密後的「對稱加密用的密鑰」,使用什麼對其進行解

https其實是有兩部分組成：http + SSL / TLS，也就是在http上又加了一層處理加密信息的模塊。服務端和客戶端的信息傳輸都會通過TLS進行加密，所以傳輸的數據都是加密後的數據。具體是如何進行加密，解密，驗證的，且看下圖