1
我正在開發一個Android應用程序,我想提交一個用戶名和密碼。我在做什麼,此刻是:ObjectOutputStream:這是安全的嗎?
通過ObjectOutputStream的
連接到認證服務器
發送用戶名/散列密碼
我這樣做是因爲這是我可以用我已經獲得的知識來實現自己的唯一解決方案。
但是當然有一個問題我不得不擔心:這有多安全?我知道,沒有100%的安全。但是,這是一個非常糟糕的解決方案,或平均?
A
回答
1
這是不安全的,因爲登錄名/密碼未加密。事情你應該做的是:
- 使用HTTPS,而不是用於登錄
- 哈希它之前,你的密碼,加入鹽HTTP連接(用戶名作爲鹽就可以了)
- 使用的序列化數據協議不非常方便 - 它 不提供任何額外的安全性,但在調試的時候,纔是真正可怕的 ...
鹽: 如果兩個用戶有此相同的密碼,他們也都會有這個相同的哈希。這可以很容易地使用彩虹表(谷歌爲它)恢復。爲了避免這樣的密碼的情況應該與一些鹽是哈希值,而不是使用:
hash(password);
你應該使用:
hash(salt+password);
哪裏鹽可以在應用程序硬編碼了一些相當長的隨機字符串(防止彩虹攻擊)或只是用戶名,因爲它可以在服務器端和應用程序端輕鬆訪問。
相關問題
- 1. PHP:這是安全的嗎?
- 2. 這是MySQLi安全嗎?
- 3. printf:這安全嗎?
- 4. ActiveRecord序列化,這是安全的嗎?
- 5. 這是一件安全的事情嗎?
- 6. 寫這個是線程安全的嗎?
- 7. 這是一個安全的連接嗎?
- 8. 這是對Bison的安全編程嗎?
- 9. 這是XOR密碼術的安全嗎?
- 10. 這個servlet是線程安全的嗎?
- 11. NodeJS,RSA,這是安全的嗎?
- 12. 這些類是線程安全的嗎?
- 13. Python龍捲風:這是安全的嗎?
- 14. php和mysql - 這是安全的嗎?
- 15. 這是安全使用不安全的協議嗎?
- 16. Silverlight文件上傳:這是安全嗎?
- 17. 這是保證演員安全嗎?
- 18. 這是psycopg2代碼注射安全嗎?
- 19. 這是模數操作安全嗎?
- 20. 這是[0]在C++中安全嗎?
- 21. 這是eval()在Python中安全嗎?
- 22. 這是使用Parallel.ForEach()線程安全嗎?
- 23. 這是.htacces配置安全嗎?
- 24. SQL注入 - 這是(oneliner)安全嗎?
- 25. 這是多線程迭代安全嗎?
- 26. 這是sql輸入驗證安全嗎?
- 27. 這是安全嗎?這可以在MYSQL中完成嗎?
- 28. 這個腳本安全嗎?
- 29. 這些線程安全嗎?
- 30. 是java.nio.file.Files.write(...)安全嗎?
你爲什麼要發送密碼到服務器? – Kedarnath
檢查它是否正確。正確的密碼存儲在mySQL數據庫中。和我發送密碼的服務器正在訪問此數據庫。數據庫本身只能由接收我的密碼的這臺服務器訪問。 – PKlumpp
然後使用md5,它是100%安全的。 – Kedarnath