【发布时间】:2011-12-07 01:57:08
【问题描述】:
在我工作的地方,单点登录到其他应用程序风靡一时。但是,在处理我继承的一些代码时,我发现我们的一个第三方(一家大公司)使用密钥、时间戳和用户 ID 的组合来验证他们的系统。所有这些信息都通过查询字符串(MD5 哈希)通过 SSL 传递。我和我的同事发现了这一点,因为我们知道这个(开源)SSO 解决方案是如何工作的,所以我们能够简单地生成我们自己的查询字符串并在没有密码的情况下登录到任何人的帐户!不用说,我们迅速压制了这个 SSO 功能。
无论如何我都不是安全专家,但这样使用,这样的密钥不是非常危险吗?特别是因为第三方的 SSO “连接器”是开源的。他们建议经常更换密钥,但就像我说的,这似乎太容易暴力破解了;猜一个密码等于访问每个人的帐户!请让我知道你的想法和意见,赐教:)
【问题讨论】:
-
md5 不是一种加密方法。
-
嘿,Rook,哎呀不是故意的!这实际上是让我更加关注它的原因。
-
我假设你的私钥和公钥是用 512 位 RSA 加密的。除非两个密钥都完全公开,否则破解密钥并非易事。
-
所以你能找出秘钥?
-
@ShivanRaptor 我不确定,第三方源不可用,但他们的插件是 OSS。