简陋的加密密码的方法:
如http传输时
1,客户端把密码只用了sha1,md5等加密,得到X1,把它传给服务器.
2,服务器把本地正确的密码用相同的sha1,md5得到X2
3,服务器若X1 = X2那么客户传来的密码正确,
重放攻击:
这种方法有漏洞,若某人截取X1,就算不知道正确密码,每次用它就可通过认证.
简单解决方案:
1,服务器先把一个随机数Y传给客户端,这个数只在一定时间内有效.
2,客户端把这个数和密码一起sha1,md5等.
3,验证一次后,Y失效,正确则过,不正确再生成一个随机数给客户端.
更多 : http://www.baike.com/wiki/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB