请教一些网站加密的措施

最近我们公司网站的一些用户帐号总是出现被盗的情况（）。请教一下诸位关于解决这个问题的措施。  
   
  请大家说说那些盗取别人帐号的人一般采用哪些途径来盗取网站帐号？在程序山采取哪些措施能够防止。盗取帐号时是在网络传输的时候拦截破解的吗？  
   
  公司曾有人建议专门做一个C/S模式的验证码分配器，即生成随即生成的一个唯一值的验证码，用户在登陆网站的时候输入，但我考虑这似乎一点作用也没有，既然密码帐号都能盗取，输入的验证码当然也能盗取。  
  问题点数：100、回复次数：11Top

1 楼umbrella1984（雨伞(KEN)）回复于 2005-08-01 16:26:05 得分 0

验证码还是比较安全一点，另外你要对用户填写的东西过滤一下，找找SQL注入相关的资料吧。Top

2 楼xqk（夏乾坤）回复于 2005-08-01 17:15:04 得分 0

markTop

3 楼AloneSword（孤剑）回复于 2005-08-01 17:40:49 得分 50

首先弄清楚您的网站的语言,一般的现在比较流行的为sql   injection,最好在google上查一下.  
  我个人建议你使用验证玛,这样可以防止一些类似于   DOS的攻击和暴力破戒用户用户名和密码.  
  其次,对于网络加密,在传输工程加密不太容易,最好在服务段采用自己的加密方式.  
  其次,要求用户对自己的账户进行严格保密,保密的方式有很多,就得看个人情况了.  
   
  总之,最安全的技术在于个人因素,不在于技术.Top

4 楼newbiestar（）回复于 2005-08-01 18:40:22 得分 10

DoS加验证码基本上不太可能有什么效果，试想DoS的话只求使用大量的请求把你搞垮，加个验证码又有什么用？  
   
  不知道你说的这个用户帐号是什么意思？哪一个等级的用户帐号？可以考虑加密用户密码然后传输Top

5 楼silencewood（木头）回复于 2005-08-01 21:18:00 得分 10

我觉得可以采用验证码加密码的方式，即服务器给用户一个随机验证码，用户本地将自己的密码与验证码进行单向加密（如MD5、SHA等单向加密算法）后的结果发给服务器，服务器也同样的进行单向加密以验证用户发送的结果，这样密码不直接在信道上传输  
   
  同时由于是不可逆的加密，即使随机码跟加密结果被获取也几乎不可能推断出密码跟加密方法，我毕业做的论文就是MD5，如果需要可索取资料Top

6 楼csgo（第一次）回复于 2005-08-02 09:03:07 得分 0

MD5加密算法难不难？没接触过Top

7 楼alen_ghl（东方求*）回复于 2005-08-02 09:13:38 得分 0

MD5好象可以破解Top

8 楼greatdon（阿东）回复于 2005-08-02 09:21:50 得分 10

MD不是破解，是碰撞！虽然不提倡，还是比较安全的。或者用sha1Top

9 楼linestyle（linestyle）回复于 2005-08-02 09:35:08 得分 0

找个安全的论坛的源代码看看流程和方法,应该就可以了:)Top

10 楼silencewood（木头）回复于 2005-08-02 10:27:50 得分 10

md5算法不难，我2、300行代码就写完了，具体的是它将密码与随机码生成一个128bit的信息摘要，sha－1跟md5类似，不过它生成的序列更长，我觉得一般情况md5应该可以满足你的要求了  
   
  ps：好像mfc里提供了md5的函数，（听说而已，我没去找过）Top

11 楼Tranquillo（晚起的鸟儿找虫吃）回复于 2005-08-02 17:03:28 得分 10

账号被盗无外乎三种可能：  
  1   别人访问了你们保存客户资料的数据文件，这是你们系统的安全问题  
  2   用户不小心泄漏了密码，不过很多人丢的话这种可能性很小  
  2   用户的密码被暴力破解，用验证码可以有效的防止这类暴力攻击  
  如果你的用户一般都从固定的电脑上访问你们的网站，可以使用证书加密码的形式Top

相关问题

• 加密
• 验证
• 密码
• 用户
• 帐号
• 破解
• 网站
• 服务器
• 安全
• 资料

• 帖主：csgo
• AloneSword
• newbiestar
• silencewood
• greatdon
• silencewood
• Tranquillo

• Visual C++类图书
• Visual C++类源码下载