爲GAE <> Android通信加密明文密碼

2010-08-27 41 views 1 likes

我有一個與Google App Engine（GAE）後端進行通信的Android應用程序。對於身份驗證，我有一個用戶名和密碼，但是我不想將純文本密碼存儲在客戶端上，並以純文本格式在不安全的通道上傳輸。所以當用戶第一次輸入密碼（註冊或登錄）時，我正在考慮對密碼進行哈希處理，並將其存儲在手機以及GAE數據庫中。但是，我不確定使用哪個加密哈希函數，目前正在考慮sha1（），以及是否需要執行其他操作或僅僅使用sha1(plainTextPassword)。爲GAE <> Android通信加密明文密碼

有什麼建議嗎？

來源

2010-08-27 znq

回答

如果您的意思是您將密碼的哈希從客戶端發送到服務器，並將其與存儲在服務器上的密碼的哈希值進行比較，則這不安全。

攔截散列的任何人都可以使用它來登錄到您的應用程序。對於您的應用程序，散列實際上是一個密碼。密碼認證需要私人通道給認證的夥伴，例如SSH或TLS。

有人可能會爭辯說，至少有助於保護可能共享相同密碼的用戶的其他帳戶，但是一輪SHA-1無鹽會留下一個非常容易受到彩虹表和字典攻擊的密碼。使用PKCS＃5中的密鑰派生函數來正確掩蓋密碼; 8個隨機字節的鹽和幾千次迭代對於PBKDF1是很好的參數。

來源

2010-08-27 16:45:11 erickson

感謝您的回答。是的，我的意思是保護用戶的其他帳戶。將研究你寫的其他東西。 – znq 2010-08-28 21:59:10

相關問題

1. 將明文密碼轉換爲Laravel加密密碼
2. 用法：「EncryptUtil encrypt」密碼密碼：要加密的明文密碼
3. 轉換明文密碼bcrypt加密的密碼
4. 加密/解密矢量<string>
5. <>關於mysql密碼
6. 密碼加密明顯緩慢
7. PHP與加密/解密C＃通信
8. 加密解密信用卡號碼
9. Rails>設計密碼加密
10. Java - > LDAP帳戶密碼加密
11. 「回聲‘密碼’|須藤-S <command>」需要密碼
12. AIR <-> Android通信
13. 密碼加密
14. 密碼加密
15. 密碼加密
16. Authlogic LDAP：加密通信
17. 加密密碼
18. 加密密碼
19. 加密密碼
20. 加密密碼
21. 密碼加密
22. 短信加密代碼
23. 明文密碼保護
24. 將md5加密的密碼轉換爲解密的密碼wordpress
25. rspec聲明加密的密碼不是純文本
26. Vimperator：<C-v>未通過密鑰
27. AES加密 - 在Android上存儲密碼
28. 避免將密碼存儲爲明文？
29. Postgres：MD5密碼/普通密碼
30. 春<形式：密碼>不記得