Web上的用戶登錄功能應該是最基本的功能了,可是在我看過一些站點的用戶登錄功能後,我覺得很有必要寫一篇文章教大家怎麼來做用戶登錄功能。下面的文章告訴大家這個功能可能並沒有你所想像的那麼簡單,這是一個關係到用戶安全的功能,希望大家能從下面的文章中能知道什麼樣的方法纔是一個好的用戶登錄功能。以下內容,轉載時請保持原文一致,並請註明作者和出處。
用戶名和口令
首先,我們先來說說用戶名和口令的事。這並不是本站第一次談論這個事了。如何管理自己的口令讓你知道怎麼管理自己的口令,破解你的口令讓你知道在現代這樣速度的計算速度下,用窮舉法破解你的口令可能會是一件很輕鬆的事。在這裏我想告訴從開發者的角度上來做設計這個用戶名和口令的事。下面一幾件規則:
限制用戶輸入一些非常容易被破解的口令。如什麼qwert,123456, password之類,就像twitter限制用戶的口令一樣做一個口令的黑名單。另外,你可以限制用戶口令的長度,是否有大小寫,是否有數字,你可以用你的程序做一下校驗。當然,這可能會讓用戶感到很不爽,所以,現在很多網站都提供了UX讓用戶知道他的口令強度是什麼樣的(比如這個有趣的UX),這樣可以讓用戶有一個選擇,目的就是告訴用戶——要想安全,先把口令設得好一點。
千萬不要明文保存用戶的口令。正如如何管理自己的口令所說的一樣,很多時候,用戶都會用相同的ID相同的口令來登錄很多網站。所以,如果你的網站明文保存的話,那麼,如果你的數據被你的不良員工流傳出去那對用戶是災難性的。所以,用戶的口令一定要加密保存,最好是用不可逆的加密,如MD5或是SHA1之類的有hash算法的不可逆的加密算法。CSDN曾明文保存過用戶的口令。(另,對於國內公司的品行以及有關部門的管理方式,我不敢保證國內網站以加密的方式保存你的口令。我覺得,做爲一個有良知的人,我們應該加密保存用戶的口令)
是否讓瀏覽器保存口令。我們有N多的方法可以不讓瀏覽器保存用戶名和口令。但是這可能對用戶來說很不爽。因爲在真實世界裏誰也記得不住那麼多的口令。很多用戶可能會使用一些密碼管理工具來保存密碼,瀏覽器只是其中一種。是否讓瀏覽器保存這個需要你做決定,重點是看一下你的系統的安全級別是否要求比較高,如果是的話,則不要讓瀏覽器保存密碼,並在網站明顯的位置告訴用戶——保存口令最安全的地方只有你的大腦。
口令在網上的傳輸。因爲HTTP是明文協議,所以,用戶名和口令在網上也是明文發送的,這個很不安全。你可以看看這篇文章你就明白了。要做到加密傳輸就必需使用HTTPS協議。但是,在中國還是有很多網站的Web登錄方式還在使用ActiveX控件,這可能成爲IE6還大量存在的原因。我通常理解爲這些ActiveX控件是爲了反鍵盤記錄程序的。不過,我依然覺ActiveX控件不應該存在,因爲在國外的衆多安全很重要的站點上都看不到ActiveX的控件的身影。
用戶登錄狀態
首先,我想告訴大家的是,因爲HTTP是無狀態的協議,也就是說,這個協議是無法記錄用戶訪問狀態的,其每次請求都是獨立的無關聯的,一筆是一筆。而我們的網站都是設計成多個頁面的,所在頁面跳轉過程中我們需要知道用戶的狀態,尤其是用戶登錄的狀態,這樣我們在頁面跳轉後我們才知道是否可以讓用戶有權限來操作一些功能或是查看一些數據。
所以,我們每個頁面都需要對用戶的身份進行認證。當然,我們不可能讓用戶在每個頁面上輸入用戶名和口令,這會讓用戶覺得我們的網站相當的SB。爲了實現這一功能,用得最多的技術就是瀏覽器的cookie,我們會把用戶登錄的信息存放在客戶端的cookie裏,這樣,我們每個頁面都從這個cookie裏獲得用戶是否登錄的信息,從而達到記錄狀態,驗證用戶的目的。但是,你真的會用cookie嗎?下面是使用cookie的一些原則。
千萬不要在cookie中存放用戶的密碼。加密的密碼都不行。因爲這個密碼可以被人獲取並嘗試離線窮舉。所以,你一定不能把用戶的密碼保存在cookie中。我看到太多的站點這麼幹了。
正確設計“記住密碼”。這個功能簡直就是一個安全隱患,我覺得並不是所有的程序員都知道怎麼設計這個事。一般的設計是——一時用戶勾選了這個功能,系統會生成一個cookie,cookie包括用戶名和一個固定的散列值,這個固定的散列值一直使用。這樣,你就可以在所有的設備和客戶上都可以登錄,而且可以有多個用戶同時登錄。這個並不是很安全。下面是一些更爲安全的方法供你參考:
(——更新 2011/08/26,原文中有些小錯誤,並且說的不清楚,重新調整了一下——)
1)在cookie中,保存三個東西——用戶名,登錄序列,登錄token。
用戶名:明文存放。
登錄序列:一個被MD5散列過的隨機數,僅當強制用戶輸入口令時更新(如:用戶修改了口令)。
登錄token:一個被MD5散列過的隨機數,僅一個登錄session內有效,新的登錄session會更新它。
2)上述三個東西會存在服務器上,服務器的驗證用戶需要驗證客戶端cookie裏的這三個事。
3)這樣的設計會有什麼樣的效果,會有下面的效果,
a)登錄token是單實例登錄。意思就是一個用戶只能有一個登錄實例。
b)登錄序列是用來做盜用行爲檢測的。如果用戶的cookie被盜後,盜用者使用這個cookie訪問網站時,我們的系統是以爲是合法用戶,然後更新“登錄token”,而真正的用戶回來訪問時,系統發現只有“用戶名”和“登錄序列”相同,但是“登錄token” 不對,這樣的話,系統就知道,這個用戶可能出現了被盜用的情況,於是,系統可以清除並更改登錄序列和 登錄token,這樣就可以令所有的cookie失效,並要求用戶輸入口令。並給警告用戶系統安全。
4)當然,上述這樣的設計還是會有一些問題,比如:同一用戶的不同設備登錄,甚至在同一個設備上使用不同的瀏覽器保登錄。一個設備會讓另一個設備的登錄token和登錄序列失效,從而讓其它設備和瀏覽器需要重新登錄,並會造成cookie被盜用的假象。所以,你在服務器服還需要考慮- IP地址,
a) 如果以口令方式登錄,我們無需更新服務器的“登錄序列”和 “登錄token”(但需要更新cookie)。因爲我們認爲口令只有真正的用戶知道。
b) 如果 IP相同,那麼,我們無需更新服務器的“登錄序列”和 “登錄token”(但需要更新cookie)。因爲我們認爲是同一用戶有同一IP(當然,同一個局域網裏也有同一IP,但我們認爲這個局域網是用戶可以控制的。網吧內並不推薦使用這一功能)。
c) 如果(IP不同&&沒有用口令登錄),那麼,“登錄token” 就會在多個IP間發生變化(登錄token在兩個或多個ip間被來來回回的變換),當在一定時間內達到一定次數後,系統纔會真正覺得被盜用的可能性很高,此時系統在後臺清除“登錄序列”和“登錄token“,讓Cookie失效,強制用戶輸入口令(或是要求用戶更改口令),以保證多臺設備上的cookie一致。
不要讓cookie有權限訪問所有的操作。否則就是XSS攻擊,這個功能請參看新浪微博的XSS攻擊。下面的這些功能一定要用戶輸入口令:
1)修改口令。
2)修改電子郵件。(電子郵件通常用來找回用戶密碼,最好通發郵件或是發手機短信的方式修改,或者乾脆就不讓改一一用電子郵件做帳號名)
3)用戶的隱私信息。
4)用戶消費功能。
權衡Cookie的過期時間。如果是永不過期,會有很不錯的用戶體驗,但是這也會讓用戶很快就忘了登錄密碼。如果設置上過期期限,比如2周,一個月,那麼可能會好一點,但是2周和一個月後,用戶依然會忘了密碼。尤其是用戶在一些公共電腦上,如果保存了永久cookie的話,等於泄露了帳號。所以,對於cookie的過期時間我們還需要權衡。
找回口令的功能
找回口令的功能一定要提供。但是很多朋友並不知道怎麼來設計這個功能。我們有很多找回口令的設計,下面我逐個點評一下。
千萬不要使用安全問答。事實證明,這個環節很煩人,而且用戶並不能很好的設置安全問答。什麼,我的生日啊,我母親的生日,等等。因爲今天的互聯網和以前不一樣了,因爲SNS,今天的互聯比以前更真實了,我可以上facebook,開心,人人網,LinkedIn查到你的很多的真實的信息。通過這些信息我可以使用安全問答來重設你的口令。這裏需要說一下 Facebook,Facebook的安全問答很強大,還要你通過照片認人,呵呵。
不要重置用戶的密碼。因爲這有可能讓用戶的密碼遭到惡意攻擊。當然,你要發個郵件給用戶讓其確認,用戶點擊郵件中的一個鏈接,你再重置。我並不推薦這樣的方法,因爲用戶一般都會用筆記下來這個很難記的口令,然後登錄系統,因爲登錄系統時使用了“記住密碼”的功能,所以導致用戶不會去修改密碼,從而要麼導到被寫下來的密碼被人盜取,要麼又忘記了密碼。
好一點的做法——通過郵件自行重置。當用戶申請找回口令功能的時候,系統生成一個MD5唯一的隨機字串(可通過UID+IP+timestamp+隨機數),放在數據庫中,然後設置上時限(比如1小時內),給用戶發一個郵件,這個連接中包含那個MD5的字串的鏈接,用戶通過點擊那個鏈接來自己重新設置新的口令。
更好一點的做法——多重認證。比如:通過手機+郵件的方式讓用戶輸入驗證碼。手機+郵件可能還不把握,因爲手機要能會丟了,而我的手機可以訪問我的郵箱。所以,使用U盾,SecureID(一個會變化的6位數token),或是通過人工的方式核實用戶身份。當然,這主要看你的系統的安全級別了。
口令探測防守
使用驗證碼。驗證碼是後臺隨機產生的一個短暫的驗證碼,這個驗證碼一般是一個計算機很難識別的圖片。這樣就可以防止以程序的方式來嘗試用戶的口令。事實證明,這是最簡單也最有效的方式。當然,總是讓用戶輸入那些肉眼都看不清的驗證碼的用戶體驗不好,所以,可以折中一下。比如Google,當他發現一個IP地址發出大量的搜索後,其會要求你輸入驗證碼。當他發現同一個IP註冊了3個以上的gmail郵箱後,他需要給你發短信方式或是電話方式的驗證碼。
用戶口令失敗次數。調置口令失敗的上限,如果失敗過多,則把帳號鎖了,需要用戶以找回口令的方式來重新激活帳號。但是,這個功能可能會被惡意人使用。最好的方法是,增加其嘗試的時間成本(以前的這篇文章說過一個增加時間成本的解密算法)。如,兩次口令嘗試的間隔是5秒鍾。三次以上錯誤,帳號被臨時鎖上30秒,5次以上帳號被鎖1分鍾,10次以上錯誤帳號被鎖4小時……但是這會導致惡意用戶用腳本來攻擊,所以最好再加上驗證碼,驗證碼出錯次數過多不禁止登錄而是禁lP。
系統全局防守。上述的防守只針對某一個別用戶。惡意者們深知這一點,所以,他們一般會動用“殭屍網絡”輪着嘗試一堆用戶的口令,所以上述的那種方法可能還不夠好。我們需要在系統全局域上監控所有的口令失敗的次數。當然,這個需要我們平時沒有受到攻擊時的數據做爲支持。比如你的系統,平均每天有5000次的口令錯誤的事件,那麼你可以認爲,當口令錯誤大幅超過這個數後,而且時間相對集中,就說明有***攻擊。這個時候你怎麼辦?一般最常見使用的方法是讓所有的用戶輸錯口令後再次嘗試的時間成本增加。
最後,再說一下,關於用戶登錄,使用第三方的OAuth 和OpenID 也不失爲一個很不錯的選擇。