个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
24
4
我正在为我的组织开发一个新的用户存储,现在正在处理密码存储。加盐、HMAC 等概念对我来说都很好——我想存储用户的密码,无论是加盐和散列、HMAC 散列,还是 HMAC 加盐和散列——不确定最好的方法是什么——但理论上它不会没关系,因为如果需要,它可以随着时间的推移而改变。
我想要一个 XML 和 JSON 服务,可以充当客户端应用程序的安全 token 服务。
我已经为另一个系统开发了一个,它要求客户端首先使用 SHA1 对明文密码进行双重加密,然后使用服务器仅为该 session 提供的 128 位唯一 key (或随机数)使用 HMACSHA1 对明文密码进行双重加密。
我想为新系统重复这种技术 - 将算法升级到 SHA256(之所以选择是因为所有上述平台都可以轻松实现实现 - 而且它比 SHA1 强大得多) - 但有一个问题。
如果我将密码作为加盐散列存储在用户存储中,则需要向客户端发送该加盐,以便在使用唯一 session key 进行 HMACd 之前构造正确的散列。这将完全违背首先使用盐的观点。同样,如果我不使用盐来存储密码,而是使用 HMAC,它仍然是同样的问题。
目前,我能看到的唯一解决方案是对用户存储中的密码使用裸 SHA256 哈希,这样我就可以将其用作服务器和客户端的起点,以获得更安全的加盐/hmacd Web 服务的密码传输。
这仍然会使用户存储在被访问时容易受到字典攻击;尽管这不太可能 - 假设它永远不会发生,但我并不满意。
非常感谢任何输入。
最佳答案
HTTPS 是解决这个问题的最佳方案。
你在这个问题上投入了大量的加密原语,希望它会消失。一般来说,您提出的协议(protocol)似乎浪费资源,我建议研究其他身份验证协议(protocol)并想办法简化您的协议(protocol)。 Practical Cryptography是一本优秀的书。
最大的问题是在客户端和服务器之间传输 secret 。为了正确实现这一点,您需要使用 Diffie-Hellman key 交换。幸运的是,已经用 javascript 编写了一个:
http://enanocms.org/News:Article/2008/02/20/Diffie_Hellman_key_exchange_implemented
另一个问题是我看不到客户端如何确定它正在与正确的服务器通信。 SSL 使用非对称加密,由 PKI 支持,您将无法在 JavaScript 中实现。
消息摘要不是加密算法。泄露密码哈希是绝对不行的,因为密文旨在防止窃听。
将密码盐泄露给攻击者会降低您密码的安全性。如果攻击者有盐,那么他们可以使用字典来攻击密码,如果没有盐,他们将不得不随机猜测,从而使密码存储系统更加健壮。
关于c# - 安全密码存储和传输,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2544745/
24
4
0
我一直在做一些关于测量数据传输延迟的实验 CPU->GPU 和 GPU->CPU。我发现对于特定消息大小,CPU->GPU 数据传输速率几乎是 GPU->CPU 传输速率的两倍。谁能解释我为什么会这样
我将 ElasticSearch 用作我的 Post 模型的 Rails pet 项目应用程序的全文引擎。在我的 posts_controller.rb 索引操作中: def index
概述 流经网络的数据总是具有相同的类型:字节,这些字节如何传输主要取决于我们所说的网络传输。用户并不关心传输的细节,只在乎字节是否被可靠地发送和接收 如果使用 Java 网络编程,你会发现,某些时候当
我正在编写一些代码,以便将共享点从该页面转移到另一个页面: Server.Transfer("/DefectManagement/DefectList/default.aspx") 但是我遇到了这个问
我有这个泄漏,任何猜测?这个类有一些奇怪的引用。我的代码的任何地方都没有 contentobserver In com.example:1.5.0:27. com.example.ui.record
我听说过点对点内存传输并阅读了一些关于它的内容,但无法真正理解与标准 PCI-E 总线传输相比它的速度有多快。 我有一个使用多个 GPU 的 CUDA 应用程序,我可能对 P2P 传输感兴趣。我的问题
ftping 文件时,Transmit 中是否有忽略或过滤器列表?我希望它忽略上传 .svn 文件等。 最佳答案 是的。转到首选项并选择 Rules标签。在那里您可以定义要跳过哪些文件的规则。实际上,
我有以下片段来生成声音,在 while 循环中,我想动态更改它,以便它在声音生成期间创建不同频率的声音。 for(uint16_t i = 0; i < sample_N; i++) { da
我正在尝试使用 Delphi 2010 和 Indy 对 Web 服务进行概念验证。我此时的代码是: procedure TForm1.Log(const sEvent, sMsg: String);
我有一个 ActiveMQ JMS 代理,在端口 61616 上使用默认的 openwire TCP 传输公开。 我有许多远程客户端可以绑定(bind)到此代理来监听他们的消息。 如果我想打开 kee
reconnection strategies文档仅使用 JMS 示例,但是 FTP transport documentation确实说明了重新连接策略的使用,但没有任何细节或示例。 进一步,如果你
我有 2 个 TreeView,第一个填充有项目。 try { CheckBoxTreeItem treeRoot = new CheckBoxTreeItem("Root"); tr
在我为学校开发的一个网站上,用户输入他们的学校电子邮件和密码,如果他们已注册,则登录。如果没有,则会显示登录的第二部分,要求输入笔名称并确认密码。正因为如此,以及我复杂的业余 Django 编程,我有
我正在开发一个 Web 服务,我们在其中使用 LINQ-to-SQL 进行数据库抽象。当客户使用我们的网络服务时,对象被序列化为 XML,一切都很好。 现在我们希望开发我们自己的使用本地数据类型的客户
我应该创建一个名为“Backwards”的方法,该方法将列表从尾部横向到头部,但是当我运行代码时,它出现说(第 88 行)它找不到光标 = cusor.prev;象征。我需要在循环中再次设置上一个链接
给定像 Uint8Array 这样的类型化数组,似乎有两种方法可以通过 worker 传输它们。 选项 1 直接发送缓冲区并在接收端进行转换: 发件人:postMessage({fooBuffer:
在 PHP + jQuery 环境中,我和我的 friend 无法得出最佳解决方案。我们正在使用 Ajax 从数据库中获取数据。 解决方案 1 - Ajax 应该只传输数据,而不是 HTML 好处:我
大家好,非常感谢您的宝贵时间。 有一个 std::stringstream 需要传输到远程机器。网络库允许我用以下方法构建数据包: CreatePacket( const void * DATA, s
我正在使用 libcurl 通过 FTP 传输二进制文件 (.exe),并将其保存到本地文件。问题是文件传输后,它已被更改,不再是有效的 Win32 应用程序,因此无法运行。这是我的做法: CURL
各位程序员, 当我将它上传到我的 FTP 时,我的网站出现此错误:资源被解释为样式表,但使用 MIME 类型文本/纯文本传输 BlahBlahi
我是一名优秀的程序员,十分优秀!