java - 如何减少在 Spring 中攻击内存中密码的表面积？

Question

Java 中的

String 会保留一段时间，可能是 a long while .这是一件好事，除非 String 包含用户的实际密码。 Character arrays are suggested因为它们不是不可变的，可以更快地清除。 (我们希望永远不会有像 Heartbleed 一样但针对 JVM(远程堆转储)的“苦咖啡”攻击。

我注意到 Spring Security PasswordEncoder 采用 CharSequence 而不是 String，可能是出于这个原因。但是我不确定我应该使用什么对象来将密码保存在内存预散列中。 StringBuilder 合适吗？那会是什么样子？我更不确定我是否正在创建一个 REST API(通过 Spring Data 或 Spring MVC 在后台使用 Jackson)我如何才能避免它成为 String。

我如何编写 JSON REST API 来创建/更新密码，同时尽可能安全并避免使用 String 时出现的各种问题？

Answer 1

How can I code a JSON REST API for creating/updating passwords whilst being as secure as possible and avoiding the various problems with using Strings?

嗯，API key 不是真正的密码。您可以控制 API key 的创建方式，因此您可以创建一些随机字符串，该字符串具有非常低的冲突(即双 UUID)和非常低的公共(public)子字符串(在重复数据删除的情况下)。在客户端使用 key 通过 REST API 登录后，您可以使用临时 token ，从而提高 API key 被垃圾收集的可能性。

至于处理真实密码，这是人类登录的情况(可能重置 API key )，您实际上没有太多选择，因为几乎每个 servlet 容器都会将请求参数转换为字符串。一个俗气的选择是让客户端通过 Javascript(或任何您的客户端)对密码进行 Base64 编码，然后添加分隔符，然后将随机生成的数字或字符串添加到密码中。这并不是真正的混淆，而是再次降低保留相同字符串的可能性。当然，您必须小心解码为 char 或字节数组，然后通过操作 char 或字节数组删除随​​机后缀(请参阅 CharBuffer)。

另一个复杂的选择是微服务云方法。只需制作一个由几个只进行身份验证的微小循环实例组成的身份验证服务。让那些 JVM 实例经常重新启动(以刷新内存)。或者，如果它们足够小，它们有望更频繁地进行垃圾收集。

我当然会假设您的数据存储库有加盐密码(否则此安全预防措施毫无意义)。

老实说，虽然还有很多其他威胁，但我真的认为对于 HTTP 服务器环境中的大多数用例来说，不值得为此付出努力。

Java Swing之所以使用char[]作为密码，是因为Swing是用于桌面环境的。桌面环境更有可能存在恶意程序，例如病毒/ spy 软件，它们可以对内存进行一些密码探测。

考虑到这一点，您真正应该担心的是客户端，而不是服务器。