- 论坛徽章:
- 3
|
以下从WEB领域的安全角度来回答这些问题!
1、密码学在通信安全领域的应用实例
密码学在通信安全领域的应用例子,包括我们常见的各类网站的帐号密码登陆,通常注册时对帐号密码进行MD5不可逆加密,然后存入数据库,登陆时候也进行MD5加密,然后比对数据库里的32位MD5加密串,如果2个字符串一致就通过,不一致就禁止登陆,不过目前的站点基本都有更深度的密码处理,不仅仅是MD5处理,还包括一个随机的SALT(KEY)组合成更加复杂的加密串,解密时也需要这个SALT(key)才能解开。
还有最近WEB上应用比较多的第三方信任登陆,常见的有QQ、邮箱等第三方帐号的登陆。这里一般用的是P3P个人隐私保护技术,这个在很多论坛都能看到,QQ登陆第三方网站、多个站点同一个帐号单点登陆等等。这些多少都离不开密码学。
以上是一些开源系统经常用到的一些密码安全处理方法。如果想知道更多的细节可以查看各开源站系统的源码,比如DISCUZ、DEDECMS等。
2、密码学在实际应用上的难点,您是如何解决的?
大家都知道没有100%安全的东西,世界上也没有无法破解的密码,即使你再牛的技术也不可能做出无法破解的系统,只能说增加破解的成本,比如CSDN,早期一直是明文帐号密码传输也没有出现过问题,但是之后被爆出了帐号密码明文泄漏的大问题,哪怕做一个普通的密码处理也比明文更好,至少拿去无法直接看懂,之后这些帐号全被禁锢,直到安全邮箱确认!
从密码学算法来说,目前包括对称算法、非对称算法、不可逆等,MD5就属于不可逆,虽然网站上有很多能破解MD5的站点,那些都是直接拿常见的字符组合比对出的结果,其背后依托的是一个庞大的数据库,有些比较特殊的字符它的数据库里也是没有的。但是单纯通过MD5这种不可逆的简单处理,网站还是有危险的,所以之后很多开源系统都辅助了对称算法加密,对明文多加一个SALT进行加密,然后用同一个SALT对加密串进行解密。用了2种算法的组合,比单纯只用MD5加密被破解的概率就低很多,即使拿到数据库数据,短时间也未必能够简单破解,从而增加破解的难度,黑客就不得不考虑花这么多时间是否值得了。这样即使无法阻止真正黑客的渗入,但是至少增加了破解者的难度,尽可能做到安全!
密码学的应用难点就像是一对矛盾体!没有攻不破的盾,也不可能有无坚不摧的矛!
3、作为技术人员,如何看待密码学在日常通信安全中的优势和作用
早期一些网站仅仅只使用md5,那么只要我获取了这个md5字符串,并且用户的密码设置得比较简单(6位以内,只包括数字或字符,没有特殊字符),那么就可以很容易通过MD5加密进行暴力比对破解。作为一个技术人员,根据密码学原理,我们知道除了加大服务处理端的安全以外,我们也提倡用户在日常使用中我们应该把密码设置得更复杂一些(6位以上,数字、字母、特殊字符的组合),当然没必要复杂到自己都记不住,不同的应用有不同的安全级别,普通网站帐号的安全级别肯定远不如金融交易帐号!
|
|