Android:用户登录并保持会话直到注销(需要批准)
..
security相关内容
安全模式:使用用户凭证登录第三方站点
我开发了一项服务 (Service),它可以自动执行用户可以在另一个第三方网站 (3rd Party Site) 上执行的某些操作. 我的服务为用户提供以下功能: 用户在服务中注册 用户向服务提供他/她的第 3 方站点用户名/密码 服务使用该凭据代表用户登录到第 3 方站点 服务将第 3 方网站发布的 cookie 存储在其数据库中 从现在开始,服务开始使用之前存储的coo
..
密码拉伸 - 一种缓解 CPU 泛滥的方法
..
密码散列的盐是否应该被“散列"?还?
我认为这可能是一个愚蠢的问题,但我已经很困惑我应该在这里做什么才能做到最好. 在对密码散列进行加盐处理时,加盐是否也应进行散列处理或保留为明文? 注意:我在 SHA-256 中对密码进行哈希处理,Salt 是一个预定义的字符串,因为一次只能存储一个密码. TIA 克里斯(香巴拉). 解决方案 没关系. 盐的目的是防止预计算攻击. 无论是散列盐还是单独使用
..
加密、哈希和密码问题,完全是菜鸟?
我已经阅读了几篇关于这个主题的 stackoverflow 帖子,尤其是这个: PHP 密码的安全哈希和盐 但我还有几个问题,我需要澄清一下,请让我知道以下陈述是否属实并解释您的意见: 如果有人可以访问您的数据库/数据,那么他们仍然需要弄清楚您的散列算法,并且您的数据仍然会有些安全,这取决于您的算法?他们所拥有的只是哈希和盐. 如果有人可以访问您的数据库/数据和您的源代码,
..
安全登录:PHP 和 Javascript 中的公钥加密
我正在尝试使“普通"用户名/密码登录表单安全,而不需要 HTTPS.我的想法是这样的: 服务器为某种非对称加密算法生成一个密钥对.它将这个密钥对存储在一个临时表中(或者可能是本地会话数据). 服务器将表单发送给客户端并包含公钥. 用户填写表格. 在将密码发送到服务器之前,Javascript 会使用给定的公钥对密码进行加密. 表格已发送. 服务器使用它的私钥解密密码(它从临时表中获
..
重置密码或提供旧密码的安全方法
处理忘记密码/密码重置最安全的方法是什么?我应该通过电子邮件将密码发送给用户吗?如果是这样,你会强迫他们重置它吗?还是让他们立即重置(不发送电子邮件)并要求其他信息来验证是他们?还是有更好的方法? 解决方案 您不能通过电子邮件将密码发送给用户,因为您不知道.您已经通过
..
我应该修剪密码字段中的空格吗
只是想知道. 我们通常在 ASP.Net 应用程序中以各种形式修剪用户名,密码字段的最佳做法是什么. 即我们应该在保存/加密之前删除密码字段中的尾随空格吗? 解决方案 视情况而定, 有些用户从某个地方复制他们的密码,或者填写他们的密码并将其复制粘贴到“确认密码"字段中.这有时会在密码前后留出额外的空间.当他们甚至没有意识到空间存在时,空间也会被加密. 而其他用户实际
..
Javascript生成具有特定字母数量的随机密码
我想在网页中,在客户端,用 Javascript 生成密码.密码应该使用字母和数字,也许是一些符号.如何安全地在 Javascript 中生成密码? 解决方案 由于密码需要不可预测,因此需要由种子良好的加密 PRNG 生成.Math.random 通常不安全. 现代浏览器(至少是当前版本的 Firefox 和 Chrome)支持生成安全随机值的 window.crypto.getRa
..
如何在不使用 System.console() 的情况下从控制台读取密码?
我遇到 这个 Eclipse 错误,其中 System.console() 不适用于 Java 应用程序启动.我有一个小型 Java 应用程序,该应用程序还需要输入只能从 IDE 内启动的密码.有没有其他方法可以安全地仅使用 JDK 类从控制台读取密码(即不在控制台上显示)? 编辑: 我知道 System.in,但那是在控制台中显示输入的字符,因此不安全. EDIT2: 我还想指出
..
无需 ssl 的双向密码加密
我正在使用基本身份验证 Twitter API (不再可用)将 twitter 与我博客的评论系统集成.这个和许多其他 Web API 的问题是它们需要用户的用户名和密码才能做任何有用的事情.我不想处理安装 SSL 证书的麻烦和成本,但我也不希望密码以明文形式通过网络传递. 我想我的一般问题是:如何通过不安全的渠道发送敏感数据? 这是我目前的解决方案,我想知道其中是否有任何漏洞:
..
数据库凭据以纯文本形式存储可以吗?
默认情况下,Django 数据库主机/用户/密码以纯文本形式存储在项目 settings.py 文件中. 目前我似乎想不出更好的方法,但这似乎违反了密码存储的最佳做法.当然,如果攻击者可以访问设置文件,那么一切都可能已经丢失.即使文件被加密,到那时攻击者也可能有办法解密它. 这样好吗? 解决方案 您说得对,将密码存储在明文和 settings.py 文件中是不安全的.您可以通过
..
创建帐户时,如何将密码哈希安全地存储在内存中?
我们基于 Web 的应用程序将用户帐户绑定到具有在帐户创建期间指定的密码的用户.在 Java 的情况下,如何安全地处理密码,然后将其哈希保存在数据库中. 更具体地说,如何确保保存密码的字符串在足够短的时间间隔内被垃圾回收? 解决方案 如果有可能(在 web 应用程序中可能很难),最好将密码存储在字符数组中而不是存储在字符串中.如果您完成了密码的存储,您可以使用 Array.fill(
..
在 iPhone 上存储用户名和密码的最佳做法是什么?
是否有在 iPhone 上存储用户名和密码的最佳做法?我正在寻找明显安全但也会在应用更新之间保留信息的东西. 解决方案 使用 Apple Keychain. + (NSString *) getPasswordForUsername: (NSString *) username andServiceName: (NSString *) serviceName error: (NSErro
..
使用java加密和解密密码使用什么API和算法
我目前正在使用 Java 创建应用程序,我在谷歌上搜索了 Java 密码加密,但结果如此巨大,我感到不知所措.如何使用 Java 加密和解密密码?加密和解密密码的最佳实践是什么?我猜 MD5 不是一种方法,因为它是一种单向哈希.我使用 struts2 作为我的框架,想知道他们是否提供密码加密 解决方案 更新: 试试 JBCrypt: 字符串密码 = "MyPassword123";
..
如何在 PHP 中使用 Blowfish 创建和存储密码哈希
1) 如何使用 crypt() 创建安全的 Blowfish 密码哈希? $hash = crypt('somePassword', '$2a$07$nGYCCmhrzjrgdcxjH$'); 1a) “$2a"的意义是什么?它只是表明应该使用 Blowfish 算法吗? 1b) “$07"的意义是什么?较高的值是否意味着更安全的哈希? 1c) “$nGYCCmhrzjrgdcxjH$"的
..
为什么检查错误的密码比检查正确的密码要花更长的时间?
这个问题一直困扰着我. 在 Linux 上,当要求输入密码时,如果您的输入正确,它会立即检查,几乎没有延迟.但是,另一方面,如果您输入了错误的密码,则需要更长的时间来检查.这是为什么呢? 我在我尝试过的所有 Linux 发行版中都观察到了这一点. 解决方案 其实是为了防止暴力破解每秒尝试数百万个密码.这个想法是限制检查密码的速度,并且应该遵循一些规则. 成功的用户/密码对
..
如何在 PHP 中对上传的 PDF 进行密码保护
..
安全地发送纯文本密码?
我正在开发一个 iOS 应用程序,该应用程序将让用户填写他们的密码.然后,密码将使用 POST 或 GET 发布到我网站上的 PHP 页面.(它必须是明文,因为它在脚本中使用.) 除了 HTTPS,还有什么方法可以保护密码吗?用 Obj-C 加密,然后用 PHP 解密? 注意:不发送用户名...仅将密码发布到服务器. 编辑:澄清一下,David Stratton 是正确的……我试
..
密码加密,在会话中存储密码
..