在 Android 应用程序中散列密码有哪些好方法？

Question

我正在创建一个应用程序，该应用程序要求用户在远程服务器上注册，但我想在将其密码发送到我的数据库之前对其进行哈希处理。

我尝试使用 jBCrypt 库，但它在散列时产生了很长的挂起时间。还有其他选择吗？在不造成明显挂起的情况下散列密码的最佳（和最安全）方法是什么？

Answer 1

您的方法似乎是错误的。除非您有一些特殊要求，否则执行此操作的常用方法如下（不是 Android 特定的，适用于任何 Web 应用程序）：

1. 当用户注册时，获取他们的密码，对其进行哈希处理（也推荐使用随机盐），并将其保存在数据库中。这样做是为了不将实际密码保存在数据库中。
2. 当用户需要登录时，您将实际密码发送到您的 web 应用程序（使用 SSL 避免以明文形式发送），不是哈希。 在服务器上，您应用与第 1 步相同的哈希算法，并将结果与​​数据库中的结果进行比较。如果它们相同，则用户提供了正确的密码。

简而言之，您应该在服务器上进行散列，而不是在 Android 设备上。

Answer 2

不惜一切代价避免保存第 3 方密码。保存它们被认为是网络钓鱼的一种形式。尝试保存身份验证令牌，而不是使用 OAuth 等方法获取的原始密码。

如果您确实需要向网络服务器上的数据库发送密码，只需使用 HTTPS。这将确保通过网络进行安全加密。然后，您可以根据需要在数据库中加密密码。这种方法还可以确保您的加密机制不在设备本身上，这样更容易受到攻击。