0
我已經繼承了一個移動應用程序,它在明文中發送授權憑證(用戶標識/密碼)。正在尋找一種安全的方式來通過移動應用程序進行身份驗證
我想象我有2個選擇: a)使用TLS。 b)編寫我自己的認證協議。
如果我選擇(b)爲確保安全,我必須遵循哪些關鍵指導原則。 例如如何避免重播攻擊,加密策略。
A
回答
-1
對於這兩個「你不能得到起訴爲」和「合理保護」「安全」的定義爲移動應用程序,你可以假設該行是安全的VS人在這方面的中級攻擊和廣泛的竊聽。 SSL/TLS聽起來是最簡單的方法,但這可能取決於您的運營商和目標手機。
如果你不能讓TLS的工作,你需要推出自己的,使用Diffie-Hellman密鑰交換和建立密碼庫(Legion of the Bouncy Castle有jightweight實現,它是J2ME標準。)
3
如果您使用b),關鍵指導原則是:不要。如果你想要它是安全的,那就是。
儘量堅持a)。
+0
我還沒有看過新手機,但之前安裝的SSL證書有問題。 – 2008-10-13 07:04:06
0
對於(b)我想你做了一個挑戰性的迴應。
服務器生成一個隨機字符串,並將其發送給客戶端。客戶端將其附加到密碼並散列整個事情,將散列發送回服務器。服務器執行相同的計算,將結果與從客戶端獲得的結果進行比較。如果它們匹配,則客戶端發送正確的密碼。
最明顯的漏洞是,如果有人窺探交換雙方,他們可以對密碼運行離線字典攻擊。
1
編寫自己的安全協議是沒有必要,也是一個壞主意。它幾乎肯定會有可利用的缺陷。如果您只需要保護登錄憑據的機密性,那麼您應該使用SSL/TLS。它還使您可以在將來更輕鬆地升級到基於客戶端證書的身份驗證。
相關問題
- 1. 在移動應用程序中進行身份驗證
- 2. 使用移動應用程序進行API身份驗證(通過SMS)
- 3. 使用Azure移動應用程序進行Google身份驗證
- 4. vimeo o通過iPhone應用程序進行身份驗證
- 5. Force to Windows通過編程方式進行身份驗證
- 6. 在iOS應用程序中進行身份驗證的方法
- 7. Authlogic - 通過基本HTTP身份驗證進行身份驗證
- 8. 針對移動應用安全/身份驗證的API
- 9. Bluemix移動應用安全性 - 用戶身份驗證
- 10. ASP.NET應用程序未使用Windows身份驗證進行身份驗證
- 11. 通過HttpClient進行SPNEGO身份驗證
- 12. 通過LDAP進行身份驗證
- 13. 在自己的移動應用程序中的身份驗證
- 14. OmniAuth身份驗證後通過POST與Rails應用程序進行通信
- 15. 通過Twitter用戶進行身份驗證的Web應用程序
- 16. 是否有比表單身份驗證更安全的身份驗證方式
- 17. 在跨平臺Unity3d應用程序中通過Facebook進行身份驗證
- 18. 如何使用Xamarin移動應用程序對Azure AD進行身份驗證
- 19. Azure移動應用程序使用Azure AD B2C進行身份驗證嗎?
- 20. 使用混合移動應用程序進行表單身份驗證
- 21. Yii通過JSON格式的RESTful進行用戶身份驗證
- 22. 創建一個通過外部API進行身份驗證的自定義身份驗證提供程序?
- 23. Web應用程序安全性和客戶端身份驗證
- 24. 通過使用Azure移動應用程序和Xamarin的自定義API控制器進行身份驗證
- 25. 是否可以通過一種形式進行php和.htaccess身份驗證?
- 26. 移動應用程序中的用戶身份驗證
- 27. 使用Xamarin的Azure移動應用程序身份驗證
- 28. 用於Titanium移動應用程序的LDAP身份驗證
- 29. 驗證通過非Ruby應用程序的驗證身份驗證
- 30. 在Symfony2中,爲什麼完全通過身份驗證的用戶也進行了匿名身份驗證?
是的我的手機應用程序是J2ME。是的,我之前遇到過SSL問題。謝謝。 – 2008-10-13 08:56:48