1
我正在开发一个Android应用程序,我想提交一个用户名和密码。我在做什么,此刻是:ObjectOutputStream:这是安全的吗?
通过ObjectOutputStream的
连接到认证服务器
发送用户名/散列密码
我这样做是因为这是我可以用我已经获得的知识来实现自己的唯一解决方案。
但是当然有一个问题我不得不担心:这有多安全?我知道,没有100%的安全。但是,这是一个非常糟糕的解决方案,或平均?
A
回答
1
这是不安全的,因为登录名/密码未加密。事情你应该做的是:
- 使用HTTPS,而不是用于登录
- 哈希它之前,你的密码,加入盐HTTP连接(用户名作为盐就可以了)
- 使用的序列化数据协议不非常方便 - 它 不提供任何额外的安全性,但在调试的时候,才是真正可怕的 ...
盐: 如果两个用户有此相同的密码,他们也都会有这个相同的哈希。这可以很容易地使用彩虹表(谷歌为它)恢复。为了避免这样的密码的情况应该与一些盐是哈希值,而不是使用:
hash(password);
你应该使用:
hash(salt+password);
哪里盐可以在应用程序硬编码了一些相当长的随机字符串(防止彩虹攻击)或只是用户名,因为它可以在服务器端和应用程序端轻松访问。
相关问题
- 1. PHP:这是安全的吗?
- 2. 这是MySQLi安全吗?
- 3. printf:这安全吗?
- 4. ActiveRecord序列化,这是安全的吗?
- 5. 这是一件安全的事情吗?
- 6. 写这个是线程安全的吗?
- 7. 这是一个安全的连接吗?
- 8. 这是对Bison的安全编程吗?
- 9. 这是XOR密码术的安全吗?
- 10. 这个servlet是线程安全的吗?
- 11. NodeJS,RSA,这是安全的吗?
- 12. 这些类是线程安全的吗?
- 13. Python龙卷风:这是安全的吗?
- 14. php和mysql - 这是安全的吗?
- 15. 这是安全使用不安全的协议吗?
- 16. Silverlight文件上传:这是安全吗?
- 17. 这是保证演员安全吗?
- 18. 这是psycopg2代码注射安全吗?
- 19. 这是模数操作安全吗?
- 20. 这是[0]在C++中安全吗?
- 21. 这是eval()在Python中安全吗?
- 22. 这是使用Parallel.ForEach()线程安全吗?
- 23. 这是.htacces配置安全吗?
- 24. SQL注入 - 这是(oneliner)安全吗?
- 25. 这是多线程迭代安全吗?
- 26. 这是sql输入验证安全吗?
- 27. 这是安全吗?这可以在MYSQL中完成吗?
- 28. 这个脚本安全吗?
- 29. 这些线程安全吗?
- 30. 是java.nio.file.Files.write(...)安全吗?
你为什么要发送密码到服务器? – Kedarnath
检查它是否正确。正确的密码存储在mySQL数据库中。和我发送密码的服务器正在访问此数据库。数据库本身只能由接收我的密码的这台服务器访问。 – PKlumpp
然后使用md5,它是100%安全的。 – Kedarnath