首先可以明確的告訴大家：任何場(chǎng)景下的密碼存儲(chǔ)與傳輸，務(wù)必不要使用明文密碼！特別是Web應(yīng)用，密碼安全尤為重要。

Web前端密碼會(huì)在哪些環(huán)節(jié)被盜走

Web應(yīng)用的表現(xiàn)形式有很多種，最常見(jiàn)的就是網(wǎng)站。Web應(yīng)用只要曝光在公網(wǎng)上，很容易受到多種類(lèi)型的攻擊，Web前端密碼一般會(huì)在這些環(huán)節(jié)被盜走：

1、數(shù)據(jù)傳播過(guò)程中被攔載盜取

Web應(yīng)用使用的協(xié)議較多數(shù)都是HTTP，而HTTP協(xié)議下數(shù)據(jù)是明文傳輸?shù)?/span>（你認(rèn)為你在表單中填入的密碼是看不見(jiàn)的，其實(shí)數(shù)據(jù)傳輸時(shí)卻是明文的），一旦數(shù)據(jù)被第三方攔截那可以直接看到所有的請(qǐng)求數(shù)據(jù)（包含了明文用戶名和密碼）！

2、密碼在中間層（代理層）被盜走

如果客戶端與服務(wù)器端中間還有個(gè)CDN層，那不能保證CDN節(jié)點(diǎn)會(huì)不會(huì)記錄POST數(shù)據(jù)，如果記錄了那前端所有的POST數(shù)據(jù)就存在被盜取的風(fēng)險(xiǎn)。

3、在輸入密碼時(shí)被盜走

這種情況一般發(fā)生在客戶端電腦被植入了鍵盤(pán)鉤子這類(lèi)后門(mén)程序，可以捕獲取鍵盤(pán)輸入數(shù)據(jù)。應(yīng)對(duì)之策就是開(kāi)發(fā)自己的密碼控件（比如：網(wǎng)銀安全密碼控件）。

還有一種可能就是用戶訪問(wèn)了“釣魚(yú)網(wǎng)站”，誤將惡意網(wǎng)站當(dāng)成正常網(wǎng)站輸入了密碼，這種沒(méi)有很好的應(yīng)對(duì)之策，需要提升自身的安全意識(shí)，學(xué)會(huì)辨別網(wǎng)站的真實(shí)性。

4、在前端被盜走

如果程序錯(cuò)誤的將密碼以明文形式存儲(chǔ)在客戶端Cookie中，那密碼泄露也是分分鐘的事了。

客戶端密碼加密可防止明文密碼的泄露

綜上，排除掉客戶端電腦存在木馬和訪問(wèn)釣魚(yú)網(wǎng)站外，如果要保證前端密碼安全則需要保證信道安全（建議使用HTTPS協(xié)議傳輸），如果無(wú)法使用HTTPS協(xié)議，那客戶端密碼加密則是必須的。

另外對(duì)于客戶端而言，密碼加密絕不是簡(jiǎn)簡(jiǎn)單單通過(guò)Hash一下就能解決的。建議做法是：用戶輸入明文密碼后，從服務(wù)器端獲取公鑰和一個(gè)隨機(jī)Salt然后混合在一起進(jìn)行加密，服務(wù)器端接收到密碼后用私鑰解密然后再判斷Salt等的合法性，即：不能直接拿前端傳遞的密碼和后臺(tái)密碼直接對(duì)比，如果這兩者是直接對(duì)比的，那加不加密都沒(méi)有意義。

以上就是我的觀點(diǎn)，對(duì)于這個(gè)問(wèn)題大家是怎么看待的呢？歡迎在下方評(píng)論區(qū)交流~我是科技領(lǐng)域創(chuàng)作者，十年互聯(lián)網(wǎng)從業(yè)經(jīng)驗(yàn)，我了解更多科技知識(shí)！