来源:http://blog.163.com/sir_876/blog/static/117052232012322102922392/
密码的传输比密码的存储更加敏感和不安全,一般的应用大致有三个层次的传输策略:
- 使用 HTTPS 加密传输,非常安全,但对 Server 性能要求很高。也影响登录速度。一般用在高安全性的登录上面。Google 和微软的登录都强制使用 HTTPS 确保安全第一。
- 使用随即密钥对密码进行加密变换后传输,相对安全,密码明文很安全,但仍可能发生重放攻击。这种方式是性能和安全性的折中。一般的服务使用足亦。国内的开心网就使用这种方式进行登录认证。
-
不做任何修饰,直接将密码明文通过 HTTP POST 传输。这种方式漠视了用户密码的安全。实现起来非常简单,但却是对用户隐私和资料的不负责任。很可惜,国内几个著名网站都是采用这种简单方式。用户的应对 之道就是不要在这些网站上使用有价值的密码,例如你银行卡的密码。