HTTPS :当用户登录或注册时，如何加密_only_密码_only_？

Question

假设我有一个登录web表单，如下所示：

UserId：testuser

密码：ThisIsStrongPwd

登录

现在，我想做的就是在用户单击登录按钮时加密密码(使用业界接受的安全措施)。

我知道SSL会加密整个帖子，对吧？这些步骤将类似于：

1. 用户输入id和密码。
2. 用户单击登录按钮信息是安全地张贴到web服务器。-怎么回事？
3. 服务器端根据数据库中的散列(散列)检查用户发布的pwd。
4. 服务器返回给用户他们的default.aspx页面或index.htm页面或UNencrypted (非SSL) URL上的任何内容。

没有必要对会话的其余部分进行加密--而且可能很慢。例如，您将如何使用ASP.NET来完成此操作？还是ASP.NET MVC？

Answer 1

SSL用于加密传输层，而不是加密特定值的工具。对页面的所有请求和响应都是加密的，这是确保页面安全的关键。

您只能从安全的页面安全地发送数据。如果您只以一种方式加密数据，那么您将从不安全的页面发送数据。有人可以截取页面并添加代码，在密码被加密之前窃取密码。

Answer 2

我想做的..all是加密密码(使用业界接受的安全措施)。

对于您的用例，SSL是唯一被业界接受的安全措施。有一些方法可以在不需要ssl的情况下从浏览器加密和发送表单数据，比如jCryption。但它们并不是SSL的替代品。读这个Javascript密码被认为是有害的

Answer 3

这在应用程序中是不可能的，在应用程序中，您将接受您(服务器)不知道的用户。您所面临的基本问题是需要共享一个使您能够加密和解密其他任何人都无法读取的信息的秘密。

如果没有谈判这个秘密的过程，你就无法安全地进行交流。协商这个秘密是SSL/TLS的关键特性之一。

阅读TLS的历史和实现，了解为什么必须有一个完全安全的通道可能是有用的。您也可能有兴趣了解会话劫持，这是一种第三方可以“窃取”在SSL会话之外公开的登录令牌的机制。