我正在制作一款游戏,我只能请求页面。用户名= myuser&密码。(login ? = mypass)
游戏也可以从php接收结果。
此时密码已加密。实现安全登录的最佳方法是什么?
谢谢
使用SSL。这将在网上加密密码。
也不要发送原始密码。哈希并发送哈希值
这仍然不会给你很大的安全性,因为散列密码仍然会在浏览器历史记录中,并可能被用于重放攻击。您可以通过使用挑战-响应机制来缓解这种情况。让服务器在登录页面中包含一个大的随机字节序列(nonce),然后客户机可以使用这个nonce对密码哈希进行异或,并发送结果。服务器可以应用相同的异或来获得原始哈希值。
SSL将防止窃听,发送散列将使临时攻击者更难攻击,并且nonce将防止重播。这可能不是一个需要注意的完整列表,但这是一个开始。