3
我正在创建一个应用程序,要求用户注册一个远程服务器,但我想在发送它之前散列它们的密码以存储在我的数据库中。在Android应用程序中散列密码的一些好方法是什么?
我尝试过使用jBCrypt库,但它在散列时创建了一个漫长的挂起时间。还有其他的选择吗?散列密码的最佳(最安全)方法是什么,而不会造成明显的挂起?
A
回答
4
你的方法似乎是错误的。除非你有一些特殊的要求,通常的方式做,这是下面的(不是Android的特异性,对于任何Web应用程序):
- 当用户注册时,把他们的密码,哈希它(使用随机盐也建议使用),并将其保存在数据库中。这样做是为了避免将实际密码保存在数据库中。
- 当用户需要登录时,您将实际密码发送到您的webapp(使用SSL以避免发送明文),而不是的散列。 在服务器上,应用与步骤1中相同的散列算法,并将结果与数据库中的结果进行比较。如果它们相同,则用户提供了正确的密码。
总之,你应该在服务器上做哈希,而不是在Android设备上。
+0
我目前正在做的是: 注册:获取密码输入,哈希,发送到服务器,存储它。 登录:获取密码输入,哈希值,将其发送到服务器,比较它 你是说我应该使用SSL发送纯文本密码,然后将它散列在服务器上?这不需要我的域的SSL证书吗? – WilHall
+2
是的。请注意,你现在正在做的事情是不安全的:如果有人拦截了流量,他们会得到散列,而不是实际的密码,但他们并不需要它。只要攻击者拥有散列,他们就可以在不知道密码的情况下将其发送到服务器并成功登录。请使用SSL。 –
0
不惜任何代价避免保存第三方密码。保存它们被认为是一种网络钓鱼。尝试保存认证令牌,而不是使用OAuth等方法获得的原始密码。
如果您确实需要将密码发送到Web服务器上的数据库,请使用HTTPS。这将确保通过电线进行安全的加密。然后您可以根据需要在数据库中加密密码。此方法还可以确保您的加密机制不在设备本身上,而且可能更容易受到危害。
相关问题
- 1. 什么是密码/散列?
- 2. 在gui应用程序中管理设置的一些好方法是什么?
- 3. 什么是一些很好的方法来反转嵌套散列?
- 4. ASP.NET ||这是散列密码的好方法吗?
- 5. 什么是在Android应用程序中缓存信息的好方法?
- 6. 在Android应用程序中显示启动消息的好方法是什么?
- 7. 什么是为应用程序提供帮助的好方法?
- 8. 什么是组织PHP网站应用程序的好方法?
- 9. 什么是开发ios应用程序前端的好方法?
- 10. 什么是包装Django应用程序的好方法?
- 11. 什么是C#支持的最安全密码散列算法?
- 12. 我怎样才能在我的应用程序散列密码
- 13. C++,什么是散列数组的好方法?
- 14. 什么是创建可逆散列的好方法/函数?
- 15. 存储无法在服务器应用程序中进行散列的密码
- 16. 什么是通过Android应用程序保持对象的好方法?
- 17. 为iOS应用程序实现完美散列函数的更好方法是什么?
- 18. 什么是一些好的Wireshark教程?
- 19. 在jQuery应用程序中存储模型数据的好方法是什么?
- 20. 在Scala中保持全局应用程序状态的好方法是什么?
- 21. 在Google中获取应用程序密钥的正确方法是什么?
- 22. 什么是一些重用配置部分的好方法?
- 23. 如何更改我的应用程序的密码散列?
- 24. 双向处理密码的好方法是什么?
- 25. 这是什么样的散列加密?
- 26. 这是什么样的散列/加密?
- 27. 什么是恢复Android Phonegap应用程序的正确方法?
- 28. 制作android应用程序的最佳方法是什么?
- 29. 写一个Cocoa前端到Erlang应用程序的好方法是什么?
- 30. 什么是在Python类中排序方法的好方法?
为什么不使用ssl? –
@ DanielA.White:这不需要我有一个有效的SSL证书吗?我目前没有其中之一。 – WilHall
@WilHall更不用说,SSL证书很贵。 –