ios 加密注意事项

2017-12-17  本文已影响0人  yxc木易星辰

第一种:明文

有一些APP的登录注册就直接明文,其实这是十分危险的,危险因素多的数不胜数。

譬如

1、后台被黑客攻破,用户的所有信息都会暴露出来

2、网络劫持:劫持之后也可以直接看到我们的明文密码

3、如果攻击者破解app,拿到了沙盒中的数据,也会造成数据泄漏

第二种:MD5加密

MD5是一个安全的散列算法,输入两个不同的明文不会得到相同的输出值,根据输出值,不能得到原始的明文,即其过程不可逆;所以要解密MD5没有现成的算法,只能用穷举法,把可能出现的明文,用MD5算法散列之后,把得到的散列值和原始的数据形成一个一对一的映射表,通过比在表中比破解密码的MD5算法散列值,通过匹配从映射表中找出破解密码所对应的原始明文。

MD5有一下四个特点:

1、不可逆的

2、数量是有限的,可以使用穷举法破解,MD5破解就是根据这个

3、MD5算法 不管是什么语言得到的结果都是一样的。

3、字符串,图像,视频都可以使用MD5加密成32为字符串

单纯的MD5对我们的登录密码进行加密也不是十分完善的。那些比较懒的用户可能会输入一个比较简单的密码,我们也要保护这部分用户的密码不会被轻易的破解。这时候我们就引入了下一个概念。

第三种:MD5 加盐

普通的MD5加密,现在已经有软件可以进行破解,所有我们想出来一种方法,使MD5这种加密更加复杂,更难被破解。这种方式就是加盐(原始密码 + 盐) MD5 运算.保证密码不被破解,就要保证盐值足够长/足够咸

什么是加盐值

为了加强MD5的安全性(本身是不可逆的),从而加入了新的算法部分即加盐值,加盐值是随机生成的一组字符串,可以包括随机的大小写字母、数字、字符,位数可以根据要求而不一样,使用不同的加盐值产生的最终密文是不一样的。

代码中如何使用加盐值

由于使用加盐值以后的密码相当的安全,即便是你获得了其中的salt和最终密文,破解也是一个耗费相当多时间的过程,可以说是破解单纯MD5的好几倍,那么使用加盐值以后的密文是如何产生的呢?

1).首先我们得到的是明文的hash值

2).进行计算获取MD5明文hash值

3).随机生成加盐值并插入

4).MD5插入加盐值得到的hash

5).得到最终的密文

当然盐后台传给我们是最好的,使用后台传来的盐(salt)时,登录注册我们需要考虑一下逻辑

在注册时成功后,后台给我们随机的返回一个salt,并且后台使用盐(salt)md5加密

登录的时候,我们用盐(salt)加密

当我们更换手机登录的时候,我们向注册账号发送登录请求信息,当登录账号允许新的手机登录的时候,后台给新的手机发送以前的salt值(案例:我们跟换微信登录的时候,微信会给我们发送一个验证码,我们输入验证码的过程就是我们想后台请求salt的过程)

第四种:HMAC加密

其实上面的思想都有一点HMAC加密的思想,现在国外HMAC加密用的十分广泛了。

HMAC加密算法是一种安全的基于加密hash函数和共享密钥的消息认证协议.它可以有效地防止数据在传输过程中被截获和篡改,维护了数据的完整性、可靠性和安全性.

HMAC加密算法是一种基于密钥的报文完整性的验证方法,其安全性是建立在Hash加密算法基础上的。它要求通信双方共享密钥、约定算法、对报文进行Hash运算,形成固定长度的认证码。通信双方通过认证码的校验来确定报文的合法性。HMAC加密算法可以用来作加密、数字签名、报文验证等。

HMAC加密算法的定义

HMAC加密算法是一种执行“校验和”的算法,它通过对数据进行“求和”来检查数据是否被更改了。在发送数据以前,HMAC加密算法对数据块和双方约定的公钥进行“散列操作”,以生成称为“摘要”的东西,附加在待发送的数据块中。当数据和摘要到达其目的地时,就使用HMAC加密算法来生成另一个校验和,如果两个数字相匹配,那么数据未被做任何篡改。否则,就意味着数据在传输或存储过程中被某些居心叵测的人作了手脚。

+ (NSString *)HMacHashWithKey:(NSString *)key data:(NSString *)data{

const char *cKey  = [key cStringUsingEncoding:NSASCIIStringEncoding];

const char *cData = [data cStringUsingEncoding:NSASCIIStringEncoding];

unsigned char cHMAC[CC_SHA256_DIGEST_LENGTH];

//关键部分

CCHmac(kCCHmacAlgSHA256, cKey, strlen(cKey), cData, strlen(cData), cHMAC);

NSData *HMAC = [[NSData alloc] initWithBytes:cHMAC

length:sizeof(cHMAC)];

//将加密结果进行一次BASE64编码。

NSString *hash = [HMAC base64EncodedStringWithOptions:0];

return hash;

}

其中被加密的字段data,我们可以设定一种特殊的生成方式。

加密的密匙key也可以和server端商定一致。

我们做了这些已经为保护用户账号安全做了很多了,但是,我们还有改进的机会。

我们知道,现在用户经常连接公共Wi-Fi,而黑客可以通过这个公共Wi-Fi来获取我们加密后的密码以及key,这个时候我们还可以添加一层新的防护

第五种:时间戳密码+HMAC

基本介绍

动态密码:相同的密码明文+相同的加密算法-->因为每次登陆时间都不同,所以每次计算出的结果也都不相同.可以充分保证密码的安全性.

服务器会计算两个时间值,当期时间和前一分钟的时间(比如:第59S发送的网络请求,一秒钟后服务器收到并作出响应,这时服务器当前时间比客户端发送时间晚一分钟,仍然能够判断准确的值)

补充介绍:token值

token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 MD5 加密之后的长字符串.

用户登录成功之后,在后端(服务器端)会根据用户信息生成一个唯一的值.这个值就是 token 值.

基本使用:

在服务器端(数据库)会保存这个 token 值,以后利用这个 token 值来检索对应的用户信息,并且判断用户的登录状态.

用户登录成功之后,服务器会将生成的 token 值返回给 客户端,在客户端也会保存这个 token 值.(一般可以保存在 cookie 中,也可以自己手动确定保存位置(比如偏好设置.)).

以后客户端在发送新的网络请求的时候,会默认自动附带这个 token 值(作为一个参数传递给服务器.).服务器拿到客户端传递的 token 值跟保存在 数据库中的 token 值做对比,以此来判断用户身份和登录状态.

登录状态判断

如果客户端没有这个 token 值,意味着没有登录成功过,提示用户登录.

如果客户端有 token 值,一般会认为登录成功.不需要用户再次登录(输入账号和密码信息).

token 值有失效时间:

一般的 app ,token值得失效时间都在 1 年以上.

特殊的 app :银行类 app /支付类 app :token值失效时间 15 分钟左右.

一旦用户信息改变(密码改变),会在服务器生成新的 token 值,原来的 token值就会失效.需要再次输入账号和密码,以得到生成的新的 token 值.

唯一性判断: 每次登录,都会生成一个新的token值.原来的 token 值就会失效.利用时间来判断登录的差异性.

上一篇下一篇

猜你喜欢

热点阅读