密碼的那些事兒

• 密碼策略
  • 密碼長度：普通應(yīng)用要求長度6位以上；重要應(yīng)用要求長度為8位以上，并考慮雙因素認(rèn)證。
  • 密碼復(fù)雜度方面：面膜區(qū)分大小寫字母；密碼為大小寫字母、小寫字母、數(shù)字、特殊符號(hào)中兩種以上的組合；不要有連續(xù)性的字符，比如1234abcd；盡量避免出現(xiàn)重復(fù)的字符。
  • 密碼必須以不可逆的加密算法，或者是單向散列函數(shù)算法，加密后存儲(chǔ)在數(shù)據(jù)庫中。

多因素認(rèn)證

session與認(rèn)證

• 生成SessionID時(shí)，需要保證求購的隨機(jī)性，比如采用足夠強(qiáng)的偽隨機(jī)數(shù)生成算法，現(xiàn)在的網(wǎng)站開發(fā)中，都有很多成熟的開發(fā)框架可以使用，這些成熟的開發(fā)框架一般會(huì)提供Cookie管理、Session管理的函數(shù)，可以善用這些函數(shù)和功能。

Session Fixation攻擊

Session 保持攻擊

• 一般應(yīng)用都會(huì)給session設(shè)置一個(gè)失效時(shí)間，但有一些系統(tǒng)，出于用戶體驗(yàn)的考慮，只要用戶還“活著”，就不會(huì)讓這個(gè)用戶的Session失效，從而攻擊者可以通過不停地發(fā)起訪問請(qǐng)求，讓Session一直“活”下去
• 對(duì)抗Session 保持攻擊：一定時(shí)間后，強(qiáng)制銷毀Session，還可以，檢查http信息，如果發(fā)生變化，則銷毀Session，要求用戶重新登陸。

單點(diǎn)登陸（SSO）

• OpenID模式仍然存在一些問題，OpenID的提供者服務(wù)水平也有高有低，作為OpenID的提供者，一旦網(wǎng)站中斷服務(wù)或者關(guān)閉，都將給用戶帶來很多的不便，因此目前不部分網(wǎng)站仍是很謹(jǐn)慎的使用OpenID。