1
我的Java應用程序操縱最終用於加密文件的密碼。 因爲我看到它在擺動JPasswordField我加載它在結構操作密碼
public char[] password;
。
我想這會增加一定程度的保護以防止密碼的內存掃描。 我認爲這只是一個「隱晦」的水平,不是真正的保護。 在我看來,這是有用的,因爲它對許多微不足道的掃描儀是有效的。 事情是這樣嗎?或者我錯過了什麼?
Q
操作密碼
A
回答
3
之所以使用char[]代替String被一些人首選的是,char[]可以使用後縮小窗口時出現在覈心轉儲密碼或通過failur清除暴露從綁定的緩衝區檢查讀取。
但是,它不適合用於JPasswordField多種原因工作這麼好:
- GC可移動的對象,而不必立即消隱原件。
JPasswordField通常與ActionListener一起使用,它將接收密碼作爲ActionEvent中的命令字符串。Document實現可能會複製。- 在提取
char[]後,人們忘記將空白JPasswordField空白。 - 有可能是更重要的安全事情,你可能會花費在努力(如機場檢查員留意瓶裝水,讓炸彈通過)。
在專業方面,你會得到一個打勾清單功能,不必解釋自己,因爲你在做最佳實踐。
1
你的意思是說你認爲char []比一個String更安全嗎?嗯,不。在內部,一個字符串將其文本保存在char []中。他們看起來完全一樣。
我想你可以加密內存中的密碼以防止這種事情發生。但是大概你必須在加密之前以純文本的形式閱讀它,所以它在一段時間內仍然會以純文本形式存在。我猜想,如果你期望無論你的操作花了很長時間,在內部加密密碼可能會有一些價值,以減少暴露。
2
正如其他人所說,char[]提供比String沒有真正的安全優勢。然而,char[]不超過String對象提供這些好處:
- 這是很難無意中透露密碼(數組的
toString()方法不透露其內容) - 內容可以被清除時,他們不再需要
相關問題
- 1. c - 解密中的位操作/操作
- 2. Tensorflow緻密層操作
- 3. 使密碼工作
- 4. 位掩碼操作
- 5. 監視操作碼
- 6. GDB和操作碼
- 7. PowerPC操作碼錶?
- 8. 操作系統更新後,CocoaPods會一直詢問id_rsa密碼
- 9. Neo4j密碼設置操作在哪裏條款
- 10. 無法在safari操作系統上輸入密碼字段x
- 11. MongoDB的錯誤:{ 「$ ERR」: 「無效的操作:$ geoWithin」, 「密碼」:10068}
- 12. Neo4j密碼查詢中的按位操作替代
- 13. 在Azure操作日誌中關閉日誌記錄pfx密碼
- 14. 玳瑁git在每次拉和推操作時要求密碼
- 15. 用Django 1.5中的密碼確認操作
- 16. C#使用密碼互操作Excel宏 - 這有可能嗎?
- 17. CTR模式下的分組密碼操作
- 18. 三元操作符/默認值在neo4j密碼
- 19. 如何使用密碼進行仲裁操作(減號)
- 20. Ruby XOR位明智的操作密碼練習
- 21. OpenSSL:密碼套件中的操作模式
- 22. 字節數組操作從UI使用的密碼算法
- 23. 在密碼網站中進行多項操作的捲曲
- 24. 無法操作neo4j密碼中的路徑集合
- 25. 將PHP編譯爲操作碼並執行操作碼
- 26. 密碼加密與phpbb3密碼一起工作
- 27. Android - Crittografy密碼解密不起作用
- 28. SilverStripe密碼DE /加密不起作用
- 29. 密碼加密如何工作?
- 30. 註冊時密碼錯誤,但在更改密碼時工作密碼bcrypt
你害怕什麼? – SLaks 2011-05-16 16:29:18
JPasswordField不提供任何形式的內存掃描保護。 – 2011-05-16 16:32:23
所以使用char []相當於使用String? – AgostinoX 2011-05-16 16:40:13