用户口令保护新招
用户口令保护新招 译:葆晨辉
24/04/2000
经常有读者询问,如何在其站点上使用JavaScript,以确保用户登录时的口令不会外泄。对于这样的问题,我的第一反应就是告诉他们使用SSL(安全套接字协议层)。如使用正确,SSL对于安全要求较高的Web应用是最佳的解决方案。但是,也有相当一部分开发者,他们的Web应用对安全性的要求并不高,因此他们并不希望访问者使用SSL 登录。
Web应用一般使用一种叫做“会话状态管理”(Session State Management) 的技术来追踪和管理浏览器与服务器之间的相互活动。因为每个浏览器的浏览要求相对于其他浏览器都是独立的(正如超文本传输协议中定义的那样),所以Web 应用必然使用某些技巧,如Cookie、隐藏表格字段、或重写URL,它们可以识别出服务器与某个浏览器进行的独立会话。大多数的服务器端编程环境(如ASP、PHP、ColdFusion等)都使用Cookie。
会话状态管理的问题在于从根本上讲它是不安全的。这些被用来管理会话状态的Cookie、表单值、或URL要在浏览器和服务器之间往来传送,黑客可以在途中拦截它们。一旦拦截成功,黑客就可以利用这些信息强行接管用户会话。
在大多数服务器端脚本编写环境里,你都可以采取一些措施以减少此类泄密的发生。例如,你可以为Cookie设定很短的使用期限,应用“难预期会话状态”信息。然而,最安全的解决方案还是使用SSL。使用SSL,不论用户口令,还是会话状态信息都会受到保护。
如果你不使用SSL,那么可以要求用户对你的应用中的每个敏感页进行重新认证。但是,从用户的角度来讲,这种方式未免太过麻烦。总之,你必须清楚你和你的用户究竟愿意承担多高的风险。如果口令泄露的风险过高,你就需要使用SSL建立应用。如果你不能使用SSL,可以采用基于MD5的登录方式作为代替。它至少可以保护你的用户的口令免于外泄。另外,再选用一种可以防止会话状态信息被窃的服务器端脚本编写技术。
通常,如果一个用户不使用SSL登录(即原来的HTTP),那么从离开浏览器直到到达目标网络服务器的这段时间里,用户口令都处于无保护的暴露状态,正如下页中的图表所示。
不过,我们可以利用一种不可逆的函数开发一种登录方案,利用这种方案就不会暴露用户的口令。函数是集合的元素之间的一种对应关系,在从集合A到集合B的函数中,A中每个元素在B中都有一个唯一的元素与之相对应。不可逆函数在计算上很难逆转——即给定集合B中的一个元素,很难确定在集合A中的哪个元素与之相对应。
这好比是一台碎纸机。把文件放入碎纸机中销毁是很容易的。但是反之,如果要把销毁后的碎纸屑重新拼凑成原文可就难上加难了。
<B>采用MD5解决方案<B>
当今最流行的不可逆函数应用程序之一就是由Ronald Rivest开发的MD5算法。Ronald Rivest还是著名的RSA(Rivest,Shamir,Adelman)加密算法的开发者之一。MD5算法能为任何长度的信息生成一个16字节大小的“数字指纹”。这个信息可以是一个字符串、一个文件、一个文本流或任何其它形式的字节序列。在RFC1321中有MD5算法的详细描述。
我们要开发一种使用MD5算法的登录方式,用以保护从一个浏览器发送至网络服务器的用户口令。
当一名用户对某个网络应用提出登录请求时,其网络服务器就会提供给用户一个登录表格。这是一个带有随机生成值的表格。其中的随机生成值由服务器端脚本从一个数亿记的取值空间中随机选取生成。
<img src="http://china.cnet.com/building/authoring/password/images/step1.gif">
用户在登录表格中输入他或她的用户名和口令,用户端脚本给口令附加一个随机值,然后用MD5不可逆算法对结果进行计算。再用计算得出的值代替原口令。我把这个值称为MD5口令。
最后,用户端脚本把用户名和这个MD5口令发送到网络服务器。因为在浏览器与服务器之间传送的是MD5的运算结果,所以任何人都无法通过计算得出用户所输入的原始口令。
<img src="http://china.cnet.com/building/authoring/password/images/step2.gif">
网络服务器在接收用户名和MD5口令后,会执行与用户浏览器相同的运算。它给用户口令(从服务器的被保护区域中提取)附加上随机值(即已发送给用户的随机值),并计算出正确的MD5口令值。然后网络应用程序把这个值和它从浏览器收取的值相比较。如果两值相等,网络应用程序就会生成一个服务器端会话变量,证明此用户身份正确。
<img src="http://china.cnet.com/building/authoring/password/images/step3.gif">
说到这里,你也许会置疑使用随机值的必要性。其实,这个随机值是用来防止再度攻击的。如果只有原始用户口令通过MD5,那么相应得出的MD5口令就会总是同一个值。黑客只要截获MD5口令就同样可以登录进入网络应用。使用了随机值后,每次登录时生成的MD5口令都是唯一的,这样就避免了上述问题的出现。
<B>JavaScript实现</B>
在JavaScript中实现使用MD5加密的登录方案是比较容易的。Paul Johnston 的站点为您提供了MD5算法实现的丰富资料。其它有关MD5的信息可以在此站点中找到。请将代码 拷贝至一个文本文件,并命名为md5-js.txt。
我们将在ASP环境下完成服务器端的脚本编写(因为ASP支持JScript——微软版的JavaScript)。你可以使用任何一种服务器端脚本编写语言,但是你必须把MD5算法翻译成你所选择的语言。
以下内容就是一个在ASP环境下实现的登录表格login.asp。你可以进行在线模拟登录模拟用户名为jason, 用户口令为f2#5%rsq。
<%@ LANGUAGE = 'JScript' %>
<HTML>
<HEAD>
<TITLE>Please log in!</TITLE>
<% Session('sharedValue') = Math.random().toString() %>
<SCRIPT LANGUAGE='JavaScript' SRC='md5.js'></SCRIPT>
<SCRIPT LANGUAGE='JavaScript'>
var sharedValue = '<% =Session('sharedValue') %>'
function handleLogin() {
sendMD5Value(calculateMD5Value())
}
function calculateMD5Value() {
var pw = document.forms['login'].elements['password'].value
pw += sharedValue
return calcMD5(pw)
}
function sendMD5Value(hash) {
document.forms['login'].elements['password'].value = hash
document.forms['login'].submit()
}
</SCRIPT>
</HEAD>
<BODY>
<FORM NAME='login' METHOD='POST' ACTION='checkpassword.asp'>
User ID: <INPUT TYPE='TEXT' NAME='userid' SIZE='40'><BR>
Password: <INPUT TYPE='PASSWORD' NAME='password' SIZE='40'><BR>
<INPUT TYPE='BUTTON' NAME='startLogin' VALUE='Login' onClick='handleLogin()'>
</FORM>
</BODY>
</HTML>
以上内容中只有三行包含ASP脚本。(在<%和%>之间的内容为ASP脚本。)文件的第一行把ASP语言确定为JScript 。
<%@ LANGUAGE = 'JScript' %>
在第二行ASP中,名为“sharedValue”的服务器端会话变量的值被设置成随机浮点数的字符串表示形式“String”。在用户会话的全过程中,这个会话变量会存在于服务器中。
<% Session('sharedValue') = Math.random().toString() %>
下面一行将名为“sharedValue”的用户端JavaScript变量设置为同名的服务器端变量的值。
var sharedValue = '<% =Session('sharedValue') %>'
用户在表格中输入他的用户名和口令,并点击“登录”键,这样就会激活handlelogin()函数。handlelogin()函数启动calculateMD5Value()函数,为用户口令附加随机值并计算出相应的MD5值。接着,sendMD5Value()函数会收取这个值,并以之替换原表格中所填写的用户口令,最后提交表格。
这里有一点应注意:单独一行的SCRIPT标记表示脚本中包含md5.js文件。以上就是MD5的实现,你可以(而且应该)从Paul Johnston的站点上拷贝此算法。calculateMD5Value()函数所使用的calcMD5()函数在md5.js中有详细定义。
在服务器一方,我们使用一个名为checkpassword.asp的ASP脚本对用户名 和MD5值进行确认。此脚本内容如下:
<%@ LANGUAGE = 'JScript' %>
<!--#include file ='md5.inc'-->
<%
function calculateMD5Value() {
var pw = '' + Application(Request.Form('userid'))
pw += Session('sharedValue')
return calcMD5(''+pw)
}
clientPassword = Request.Form('password')
serverPassword = calculateMD5Value()
if(clientPassword == serverPassword) Response.Redirect('page1.htm')
else Response.Redirect('tryagain.htm')
%>
下面一行表示在checkpassword.asp脚本中包含文件md5.inc(在服务器端):
<!--#include file ='md5.inc'-->
这个文件就是处在ASP的<% 和 %>标记之间的文件md5.js。标准ASP语言都带inc.后缀。
另一个服务器端脚本描述了calculateMD5Value()函数。字段Request.Form('userid')把用户在提交表格时所输入的用户名返回。通过返回的用户名在一个应用变量中找到真正的用户口令值。(如果你打算使用ASP,你可能希望使用另一种办法,让脚本可以通过其它方式获取口令。)使用pw变量储存用户口令。从会话变量中取回发送给用户的原始随机值,并附加到用户口令上。然后,函数对附加了随机值的用户口令进行计算并将所得结果返回。
function calculateMD5Value() {
var pw = '' + Application(Request.Form('userid'))
pw += Session('sharedValue')
return calcMD5(''+pw)
}
用户身份认证这一过程的核心部分是由四行代码来执行完成,这四行代码均使用calculateMD5Value()函数。由用户提交的MD5口令被划为“客户口令”(clientPassword)变量,由服务器计算得出的值被划为“服务器口令”(serverPassword)变量。将这两个值进行比较。如果两值相符,那么用户浏览器就会打开page1.htm,这是已写保护的网络应用的首页。如果两值不符,用户浏览器会打开tryagain.htm,用户被告知此次登录失败,需要重新登录。
clientPassword = Request.Form('password')
serverPassword = calculateMD5Value()
if(clientPassword == serverPassword) Response.Redirect('page1.htm')
else Response.Redirect('tryagain.htm')
要制作这一脚本,只要把page1.html定义为需写保护的Web应用的首页。如果你不使用ASP,那么你就要把ASP代码翻译成在你的服务器端脚本编写环境中所使用的语言。