Tag: 生物识别

如何使用iOS生物识别身份验证启用登录: 在开发CloudEver应用程序时，我了解了iOS生物识别技术，包括Face ID和Touch ID。然后，我查看了一些具有指纹登录功能的应用程序，发现其中许多应用程序没有充分利用iOS安全功能的优势。我想与社区分享知识，并希望我们使用的应用程序将越来越安全。大多数早期的Internet服务主要为未登录的每个人提供静态内容。后来，出现了一些动态服务，例如论坛，聊天室等。那时，身份验证需要密码。然后，密码认证已被许多Internet服务广泛采用。但是，要确保密码认证的安全性并不容易。如果用户名和密码被他人破解，可能会泄露用户信息，甚至造成金钱损失。那么，实现密码认证的常见错误是什么？ 1.使用HTTP代替HTTPS进行密码身份验证过去，一些著名的Internet公司设计了自己的方法来对浏览器中的密码进行加密，然后将其提交到其服务器以通过HTTP进行身份验证。后来，他们发现这是错误的，今天几乎所有大公司都转换为HTTPS。我们必须使用HTTPS来验证用户名和密码。 2.使用HTTPS进行密码身份验证，但通过HTTP显示登录框一些开发人员认为，只要通过HTTPS传输，用户名和密码就不会被泄露。因此，它们通过HTTP提供登录页面以节省服务器资源。但是，这是一个非常常见的错误。黑客可能会通过HTTP（即MITM javascript注入）将恶意javascript嵌入登录页面。用户名和密码可能是由恶意JS代码收集的。 From Comcast仍使用MITM javascript注入来投放不需要的广告和消息登录框必须通过HTTPS提供 3.用户名不存在我发现登录某些网站时，对于不存在的用户名和错误的密码，有两种不同的错误消息。这有什么问题吗？绝对！知道用户名以这种方式存在后，黑客只需要破解密码即可。在这个数十亿美元的世界中，我们的手机号码和电子邮件地址没有任何秘密。 4.以纯文本形式存储密码开发人员如何存储用户密码？是的，有些只是将其插入其数据库中。许多经验不足的开发人员通常在构建网站时都会不加思索地将用户信息保存到数据库中，然后使用SQL来验证用户密码。如此简单，却如此不安全！以纯文本形式保存密码意味着开发人员，运营工程师，甚至公司的其他员工都可以直接访问用户密码！发生数据泄露时，黑客会知道大量密码。在不同平台上重用密码的所有用户帐户也有危险！ 5.将密码存储在哈希中一些开发人员认为，单向哈希是一种加密密码的好方法，黑客无法恢复原始密码。那是个错误的主意。尽管安全哈希算法是不可逆的，但密码哈希是可逆的。这是因为哈希算法（例如MD5，SHA1）始终针对相同的密码计算相同的结果。看一下“ MySQL.users”表，相同密码的哈希值是否相同？您可能知道，也可能不知道，有些人正在计算所有密码哈希并将其放在Internet上免费下载。到目前为止，已经计算出9个符号内所有字母数字组合的密码，总共1TB数据。那么您的密码有多少个符号？也许您会认为，在如此庞大的数据库中通过哈希查找密码并不容易。当没有这种彩虹表技术时，您是正确的。 6.哈希组合 […]