有关安全的方方面面
作者:asky 日期:2005-11-24
保证证书安全可以考虑下面的策略:
- 使用技术手段以及规则来确保强用户密码(强密码,简单理解为足够长度,包含各种字符集,足够复杂);
- 避免证书被获取(单向加密密码是好办法,但我建议将用户名即具有唯一性的公共证书、用户选择的密码即私有证书一起参与构建单向(哈希-hash)验证证书,即将密码作为明文,而用户名可以看作不会重复的初始向量。确保即使用户选择与他人相同的密码,也不会出现可对比的明文,这样即使使用密码解密程序也无法扫描出原始密码的匹配);
- 返回安全的错误信息(错误提示避免被猜测出可能的密码);
- 限制闲置的帐户。
Tags: Strong Password 用户证书 安全
