高效能程序员的修炼札记:安全基础,保护用户数据

时间:2022-02-11 18:52:53
前言:现如今,各种网站用户安全问题不断爆发,很多用户的密码被网站曝光出来,安全是互联网的一个老生常谈的话题,为什么用户的密码这么容易被破解呢,首先,作为我们开发者来说,我们要想尽办法提高用户数据的安全性,同时保证用户体验效果。

所有网络通信都应该加密吗

很显然随着互联网的高速发展,在作者的眼里,https已经提高了很大的性能,实现ssl的通信已经变得不再让人那么沮丧,那么我们一般的网站可以尝试去使用https通信,不过https需要有ca的认证证书,需要花费一定的金钱,而如果不是CFCA签发的证书,浏览器在访问的时候会提醒你,证书不安全。
  • https不再是奢侈品(CPU的运算能力得到了提高,我们都知道,使用https通信需要使用到加密算法,而加密算法一般都比较耗时,然而伴随着摩尔定理,计算机处理能力在发展,那么使用https通信将不会降低用户的体验能力)
  • https意味着没人能在互联网监视你(我略微了解一些http和https的区别,就是https底层是通过ssl对客户端到服务端传递的数据进行加密处理,这样就保证你的数据在网络传输过程中不再透明)
  • https现在变得更快了(虽然https在这座看来还有很多亟待解决的问题,但是的确实现https通信已经变得非常可行,我最近在实现期货交易平台和华夏银行的对接,使用的https通信方式也让我获得不少在https通信上的经验)

防范字典式攻击

随着服务器能力的处理,相对于那些需要在网络上探索别人用户信息的网站来,其能力也得到了提高。如果你的密码长度是单纯的字母或者数字,并且长度有限,那么被破解已经变得轻而易举。
限制每个用户的登录次数是安全领域的101.
也许你可能不了解101,但是这句话的意思就是说,对于网站设计者来说,限制用户的登陆次数是行之有效的解决办法。我们的web管理后台就会限制用户的登陆次数,如果连续登陆五次都失败了,就会锁定用户,可以通过管理员解锁,也可能等到你下次登陆成功时解锁,并且会限定你在被锁定后多长时间内不得再次尝试。
以上的方法暂时是不赖的,但是作者还提出来一种新颖的办法,就是
第一次失败 没有延迟
第二次失败 延迟2s
第三次失败 延迟4s
第四次失败 延迟8s
我觉得这种方法更加人性化,给一些“真正”的用户去想起他们正确密码的机会,但同时降低暴力破解。

快速哈希

看了本章我才明白,原来MD5的哈希算法已经这么落伍了,竟然很不安全了;另外密码如果只是单纯的数字或者字母的话,如果长度还不够的话,简直就等于没设置。
那么作为网站的设计者以及网络的使用者来说,我需要:
  • 密码长度超过12位,并且包含大小写字母、数字、特殊符号
  • 使用PBKDF2或者bcrypt

关于网络密码的可怕真相

作为一个编程人员,我以前也经常会为每个网站保存一个密码,由于密码众多,我需要在电脑上保存一个用户名和密码,以及对应的网站,但是后来我抛弃了这些用户名和密码,因为他们用起来太过糟糕,我经常记不起来之前的密码。互联网的发展帮助我解决了这个问题,现如今,一些网站会让你通过QQ、新浪进行登录,而不再是它原始的用户名和密码,这让我感到有些许安全感,毕竟新浪和QQ的安全设施应该会更好一点。
所以你也要学会保护你的用户名和密码,尽量使用知名企业的用户名和密码去登录别的网站。
另外作为开发者,我在以后也要去提供这种机能。