私たちがGmailのようなウェブサイトにログインするとき、私たちはパスワードを与えます。Now GmailはHttpsのウェブサイトなので、通過中に中間の攻撃でパスワードをManで盗聴することはできません。 MITMの場合、パスワードは平文で表示されます。ログイン中のパスワードの暗号化
ログイン中にパスワードを暗号化するメカニズムがあります。つまり、SSL MITMの後でも、攻撃者は暗号化されたパスワードのみを取得します。
これはjavascriptsを使用するクライアント側の機能でしょうか?
しかし、クライアントはスクリプトを防止または変更することもできます。
他の方法がありますか?
ブラウザ/サーバーでユーザー名とパスワードをハッシュし、ビジネスレイヤーでハッシュを比較できます。これにより、MITM攻撃が防止され、BOが資格情報を検証できるようになります。
あなたはJavascriptを使うことができますが、あなたは(1)ユーザに安全にJavascriptを取得し、(2)暗号化を行うためにキーを交換する必要があります。
パスワードを保護するのにいくつかの価値がありますが、SSLセッションが危険にさらされた場合、MITMはセッションとすべてのデータをハイジャックするか、パスワードを変更して収集するようユーザーに促します。
OpenIdを使用できますが、認証の問題はOpenIdサーバーに移動するだけです。それでも、ユーザーの秘密をサーバーに取得する方法が必要です。
一般的に、認証された新しいセッションクッキーを確立するためのSSLによるクリアテキストのパスワードが必要です。それ以外のものは、あなたのorignalの共有秘密の問題や、SSL以外のものを持っていないWebブラウザにまで還元されます。
銀行サイトでこのような保護機能を使用していますか? SSLに完全に依存していますか? –
パスワードの送信まではSSLだけです。 – Sam
それに加えて、銀行は3段階のログインプロセスを使用します: 1)ログイン名を送信してください。銀行は3つのセキュリティに関する質問に答えます。 2)セキュリティに関する質問にお答えします。銀行は、パスワードフィールドと、アカウントの設定時にユーザーが選択した画像を応答します。 3)画像が予定されている画像の場合は、パスワードを送信します。 一部の銀行では、手順2をスキップしたコンピュータを「登録」します。ただし、すべてのデータ送信はSSLで保護されています。希望が助けてくれる! – Sam