据我了解,摘要式身份验证(这是一种单向操作)对密码进行哈希处理并将哈希数据传输到服务器。然后,服务器将使用存储的密码,对其进行哈希处理,并与接收到的哈希密码进行比较。应该可以免受中间人攻击。
我不明白的是,如果我是中间人黑客,我不需要原始密码。好吧,只需使用哈希密码,因为这是服务器将与之进行比较的密码。
那么这个Digest认证机制有什么用呢?
从这个总体概述来看似乎不起作用。
摘要式身份验证的工作方式与您所描述的不太一样。
- 服务器不存储未散列的密码。服务器存储用户名:领域:密码的哈希值。
- 客户端不会为每次身份验证发送相同的哈希值。
摘要身份验证是一种质询-响应协议。要启动该过程,客户端请求受保护的 URL,服务器以领域和nonce。客户端使用领域和随机数来计算:
md5(md5(username:realm:password):nonce:md5(httpMethod:uri))
随机数使每次身份验证产生不同的哈希值,从而防止重放攻击。此外,它确实提供了一些(较弱的)保护来防止攻击者监听您的通信,因为明文密码不会通过线路传递,尽管这并不能阻止攻击者在获得哈希值后破解它。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)