我们有一个典型的基于web的登录系统。 我们希望客户有可能产生一个“登录链接” 不会永远过期 ,包括他们的密码的功能。 我们希望因此创建一个链接,其中包括他们的加密形式的密码。 注:我知道的最好的方法是一个查找表,其中每个环节都有一个唯一的关键......我不会去到为什么不为我们工作; 不会。
我不熟悉公共密钥加密..也许这就是我需要什么?
下面是我在想什么。 这可能仍然是不够的,所以请让我知道:
定义:用户密码是指我们要在链路加密形式的用户的密码。
我们不能用一个加密密钥对所有用户密码,因为有可能通过生成吨链接推演加密密钥,所以...
使用对称加密标准形式。
服务器有1000个复杂的加密密钥的文本文件。
当生成一个链接(使用具有该列表中的PHP脚本),1000个encyption关键之一就是选择要加密的明文密码(选择顺序,不随意防止这些被选择接近相同的时间) 。
加密用户密码之前,添加类似“s345lm34l5k342342343534432324sdfs”到它的开始,到“盐”了。 (例如:密码1变得s345lm34l5k342342343534432324sdfspassword1)。 “腌制”就更难解密反对字典攻击。 这种盐是保密的。 但是,当然,还有它可以被破坏的风险,这对所有密码一种盐,所以...
此外,还有添加到密码的第二随机生成的盐。 该盐被加密与单个强密码。 因为无论是盐和密码加密它是一个字节的随机图案,它使得难以确定该盐。
链接制作工具只允许你生成每10分钟15页的链接,然后将锁定IP。
- 链接制作工具不会不产生链接,除非提供给它的用户名/密码是实际正常工作的用户名/密码组合。 这样一来,如果有人只是尝试生成的链接,以确定加密信息,将无法正常工作。 不过,从理论上讲,他们可以得到一个有效的用户名/密码,并试图蛮力。
这是安全的?
