公司官网

惊!您的小程序后台密码已经泄露!

艾锑无限 / 2020-12-15 10:00:42 / 标签: 数据安全 | 网络安全 | 网络攻击 | 信息安全

前提

最近有网友向小编反馈,说自己向某软件公司购买的小程序管理后台密码泄漏了,问是什么原因引起的。在排除了使用生日、常见密码、英文单词等弱密码的情形以后。小编从以下维度帮网友做了分析。

简要

小程序除了在传输时使用加密后的密码,得到一个新的不可解密的密码2;在注册时,还会将密码2再次加密得到密码3,再进行存储到数据库。这样几道加密后,大大增加了用户的密码信息安全。


现在大多数网友都喜欢将每一个平台的登陆密码设置为同一个,包括微信、QQ、邮箱、淘宝、支付宝.....而只要其中一个平台的密码泄露,那么所有平台的密码也一并泄露了。轻则个人信息泄露,重则账户资金损失。

是否有对用户的密码进行加密,也能体现出一个小程序软件开发公司的技术能力。

当然,很多小程序应用都会绑定微信的登陆体系,不再需要用户输入密码。

今天要讨论的是小程序对应的管理后台。

密码在这三个登录阶段必须加密:登录前、登录中、登录后。


登录前

当你输入密码那一瞬间,页面上的代码应该对这个密码进行加密,特别是需要将密码保存在浏览器的缓存文件时。

如果不这么做。试想,如果有人控制了您的电脑,那人又稍微懂一点浏览器的技术知识,就可以轻松地拿到您的密码。


登录中

当点击完提交按钮,密码会通过网络到达小程序的服务器。这个环节非常容易导致密码泄露。

当点击后,密码通过互联网送达服务器之前会经过各种设备,如果其中有一台设备正在监控您的网络流量,那就会导致密码泄露。最常见的是当您连接了一个安全性未知的wifi。

除了将密码加密后再进行传输以外。还可以通过使用 ssl 证书来保障传输过程的安全。可能您不知道什么是SSL,下面科普一下。

SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务上,也称为SSL服务器证书。
SSL 证书遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。

如何知道一个网页有没有使用ssl?最简单的方式就是看网址前缀有没有https://的标识,并且可以正常打得开。


登录后

当密码送达软件公司的服务器时,服务器要从数据库里拿出初始密码信息进行比对。

专业的软件公司不会在数据库里存储用户的密码,一般都是加密后存储,并且不允许解密。

小程序除了在传输时使用加密后的密码,得到一个新的不可解密的密码2;在注册时,还会将密码2再次加密得到密码3,再进行存储到数据库。这样几道加密后,大大增加了用户的密码信息安全。

不专业的公司为了开发简便,会直接将用户的密码明文存储在数据库。

比如您的密码是AZ2020,那他们的数据库存储的也是AZ2020。于是,该软件公司的员工就可以轻松地获取到客户的密码。或者某一天服务器被黑客攻击以后,黑客连接上数据库服务器,也可以轻松地看到这些密码。


建议

所以,在购买小程序时,你也要关注密码安全。

那如何才能知道并保障小程序开发公司有对这三个登录阶段进行加密呢?不妨试一下让软件公司在合同里写明这一项。


  • 艾锑无限活动-转介绍
  • 办公设备故障免费在线咨询
  • 网络故障免费在线咨询
  • 服务器故障免费在线咨询
  • 网站故障排查免费在线咨询