2019-04-24-16:55:还是于公司
摘要认证试图修复基本认证的缺陷
改进点:
1、无明文
2、防恶意捕获并重放认证的握手过程
3、防报文篡改
用摘要保护密码
摘要认证的箴言:“绝对不通过网络发送密码!”
那么输入的密码怎么传输给服务端,难道不传了?当然不是。
摘要认证让客户端发送一个 “指纹” 或者密码 “摘要”,这是密码的不可干扰码。
摘要认证中是 单项摘要(函数)。
仅仅这样?
当然不行, 第三方可以截获摘要,然后重放到服务器,我理解这也就是中间人攻击吧
于是,随机数 出现了!可以防止此类重放攻击发生。
原理是,随机数令牌附加到密码上,这样,你的密码就变成每一次都会变化的了。