请问核心里账号的密码等关键信息是如何存储及传输的? - 第2页 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

spot0312 发表于 2012-7-24 21:40

现在系统现状是 ：后台将密码明文通过异或等位运算简单转码后存储，前端系统明文传输
现在客户希望前端将 ...
通讯中密码明文传输是不太好，因为报文和日志经常会在多个系统中出现，容易暴露。
用户口令通过单身算法HASH后（不可能从HASH后结果推算原来口令是什么，如MD5，SHA-256算法）发送到后台做比对
网银和一些银行为提高安全性，防止重放攻击或暴力破解，一般HASH的是口令再加一个一次性字符串，保证每次HASH的结果不一样，但后端程序可以用相同算法，确认口令有效性，中途被截取也无效了。
银行外联系统的加密及认证，按规定一般要用银联CFCA的证书体系（具体可以去CFCA找相关资料和工具包）
银行内部的其他加密和认证一般都是对称密钥体系/非对称密钥体系。
主要系统都是通过专用加密机（堡垒机）实现密钥，口令保存和加解密及认证过程。
spot0312 发表于 2012-7-24 21:40 现在系统现状是 ：后台将密码明文通过异或等位运算简单转码后存储，前端系统明文传输 现在客户希望前端将 ...
这是什么银行？