沒有絕對(duì)安全的系統(tǒng)-被黑客攻擊了，登錄流程要怎么做才安全

被黑客攻擊，登錄流程怎么安全？

用戶登錄是系統(tǒng)中最重要的功能之一。如果登錄成功，您可以擁有系統(tǒng)的相關(guān)使用權(quán)限。因此，有必要設(shè)計(jì)一個(gè)安全的登錄過(guò)程。保護(hù)用戶賬戶不被黑客竊取不僅是為了保護(hù)用戶的基本利益，也是為了保護(hù)網(wǎng)站的聲譽(yù)和業(yè)務(wù)發(fā)展。

流程安全性

HTTPS協(xié)議必須用于安全登錄過(guò)程。HTTPS協(xié)議安全性高，可以保證數(shù)據(jù)傳輸過(guò)程的安全。雖然有fidler等代理可以截取數(shù)據(jù)，但一般沒有用戶的配合是無(wú)法截取的。HTTPS證書可以在阿里云申請(qǐng)，個(gè)人網(wǎng)站可以直接使用免費(fèi)版，非常方便。nginx和Springboot的配置也很簡(jiǎn)單。

登錄必須有人機(jī)驗(yàn)證機(jī)制，以防止黑客以暴力破解的方式嘗試登錄。圖片驗(yàn)證碼通常可以使用，圖片需要添加干擾線，使用不同的字體和大小寫來(lái)提高識(shí)別難度。目前，圖片驗(yàn)證碼可以通過(guò)編碼平臺(tái)和人工智能識(shí)別，但成本相對(duì)較高。一些大型網(wǎng)站已經(jīng)使用了新的驗(yàn)證方法，如拖動(dòng)鼠標(biāo)移動(dòng)滑塊或糾正傾斜圖片，攻擊仍然相對(duì)困難。

一定要注意XSSS的預(yù)防、CSRF攻擊。通過(guò)在目標(biāo)網(wǎng)站上注入惡意腳本，攻擊者可以在其他用戶的瀏覽器上操作腳本。攻擊者可以通過(guò)使用這些惡意腳本獲取用戶的敏感信息。用戶提交的任何數(shù)據(jù)都應(yīng)保持懷疑態(tài)度，不能完全信任，過(guò)濾過(guò)濾，攔截。國(guó)內(nèi)大型網(wǎng)站，比如淘寶，也有CSRF漏洞，說(shuō)明大家對(duì)這種攻擊形式還是比較陌生的。

后臺(tái)登錄代碼應(yīng)注意防止SQL注入攻擊。如果黑客提交passwordor1=1，而后臺(tái)沒有做SQL防注入，只需查詢數(shù)據(jù)是否存在，攻擊可能會(huì)成功。所以or1=1有一個(gè)響亮的名字，叫做通用密碼?？峙旅總€(gè)人在做大學(xué)作業(yè)時(shí)都有這個(gè)漏洞。

登錄成功后，返回的cookie應(yīng)設(shè)置httponly、secure，這樣就不可能通過(guò)js腳本獲得cookie，可以防止跨站攻擊，增加爬蟲程序的難度。cookie的有效期根據(jù)業(yè)務(wù)需要確定，盡量短一些。我以前做過(guò)爬蟲，爬網(wǎng)銀的時(shí)候處理過(guò)很多這樣的cookie，比普通cookie復(fù)雜多了。

如果您使用手機(jī)短信登錄，您必須控制驗(yàn)證碼的及時(shí)性，即驗(yàn)證碼一次有效5分鐘，只能在一分鐘內(nèi)發(fā)送一次。如有必要，您可以單獨(dú)登錄。其他設(shè)備登錄后，設(shè)備將自動(dòng)失效。您還可以使用微信登錄等第三方授權(quán)登錄接口，優(yōu)化用戶登錄體驗(yàn)，提高安全性。

密碼安全性

盡量提高密碼強(qiáng)度。一般來(lái)說(shuō)，如果長(zhǎng)度超過(guò)8位，則必須包含數(shù)字、小寫字母和大寫字母。建議用戶使用特殊字符。

重置密碼，最好在一定時(shí)間內(nèi)通過(guò)電子郵件發(fā)送有效的重置鏈接，或手機(jī)短信驗(yàn)證碼，甚至兩者的結(jié)合。一些安全要求特別高的場(chǎng)景，如股票交易軟件，通過(guò)算法設(shè)計(jì)了一個(gè)單獨(dú)的動(dòng)態(tài)密碼應(yīng)用程序來(lái)比較動(dòng)態(tài)密碼。在今天的隱私時(shí)代，密碼保護(hù)問(wèn)題可能不那么安全。

用戶名密碼錯(cuò)誤提示模糊。無(wú)論是用戶名還是密碼錯(cuò)誤，都要統(tǒng)一提示“用戶名或密碼錯(cuò)誤”，不要給用戶明確的提示。這將使忘記用戶名的用戶在一定程度上難以登錄。您可以幫助用戶名檢索機(jī)制或允許使用電子郵件和手機(jī)號(hào)碼登錄。

不要將用戶名和密碼保存在瀏覽器中，md5不能加密。如果您想自動(dòng)登錄，您可以保存RSA加密的密文，并通過(guò)cookie提交密文進(jìn)行分析自動(dòng)登錄。md5或md5（md5）今天已經(jīng)不安全了，黑客彩虹表可能已經(jīng)覆蓋了大部分?jǐn)?shù)據(jù)。

保護(hù)好用戶

必須對(duì)密碼進(jìn)行加密。當(dāng)年CSDN使用明文存儲(chǔ)密碼時(shí)，用戶密碼被完全公開，給用戶和網(wǎng)站帶來(lái)了很大的風(fēng)險(xiǎn)?；诓屎绫砜梢院苋菀椎仄平鈓d5、對(duì)于sha1等古代算法的密文，建議至少使用sha256及以后的算法，并在加密過(guò)程中加鹽。鹽的長(zhǎng)度最好在64位以上。如果條件允許，為每個(gè)用戶設(shè)計(jì)一個(gè)獨(dú)特的鹽值將大大提高安全性。

數(shù)據(jù)庫(kù)應(yīng)保留用戶的歷史密碼。修改密碼時(shí)，不能與前幾次相同。如果黑客掌握了歷史密碼，用戶更改后也可能正好匹配。參考谷歌帳戶登錄，密碼修改不能與6個(gè)月前的密碼相同。

保留用戶的登錄記錄。需要時(shí)間和ip。如果ip和以前有很大的區(qū)別，可以通過(guò)郵箱、短信、站內(nèi)信等提示用戶修改密碼。用戶長(zhǎng)時(shí)間沒有登錄，最好強(qiáng)制修改密碼，不要重復(fù)歷史密碼。

如果您在短時(shí)間內(nèi)登錄失敗，請(qǐng)鎖定用戶。例如，如果您失敗5次，您可以鎖定1小時(shí)、8小時(shí)和24小時(shí)。鎖定后，用戶可以通過(guò)注冊(cè)電子郵件或手機(jī)短信解鎖，但解鎖次數(shù)也應(yīng)在一天內(nèi)限制。

即使用戶登錄并進(jìn)行重要操作，用戶也需要重新輸入密碼。例如，修改密碼、綁定電子郵件、密碼保護(hù)問(wèn)題、消費(fèi)行為等，可以防止黑客在XSS攻擊后修改重要數(shù)據(jù)。

總結(jié)

本文梳理了設(shè)計(jì)登錄過(guò)程中需要考慮的一些關(guān)鍵點(diǎn)。世界上沒有絕對(duì)安全的系統(tǒng)。有價(jià)值的網(wǎng)站和應(yīng)用程序是黑客攻擊的關(guān)鍵對(duì)象。在工作中，我們必須注意安全問(wèn)題，及時(shí)修復(fù)漏洞。還應(yīng)考慮網(wǎng)站數(shù)據(jù)的重要性，并采取適當(dāng)?shù)谋Ｗo(hù)措施。

微.信.搜.一.搜索程序之心，每周一三五原創(chuàng)更新。

推薦閱讀

如何成為每天寫業(yè)務(wù)代碼的程序員的技術(shù)大牛？

走向卓越，領(lǐng)域驅(qū)動(dòng)設(shè)計(jì)的思維方式