我们基于 Web 的应用程序将用户帐户绑定到具有在帐户创建期间指定的密码的用户。在 Java 的情况下,如何安全地处理密码,然后将其哈希保存在数据库中。
更具体地说,如何确保保存密码的字符串在足够短的时间间隔内被垃圾回收?
【问题讨论】:
标签: java security hash passwords
如果有可能(在 Web 应用程序中可能很难),最好将密码存储在字符数组中,而不是将它们存储在字符串中。如果您完成了密码的存储,您可以使用Array.fill() 将其覆盖在内存中,并通过丢弃它使引用可供垃圾收集器使用:
Arrays.fill(password, ' ');
password = null;
我刚刚注意到,取消密码有点偏执,但如果它让你放心,你可以这样做:)
【讨论】:
您不使用字符串。您使用 char[],然后在完成后覆盖 char[]。
在垃圾回收方面绝对不能保证(除了终结器将在对象被回收之前运行)。 GC 可能永远不会运行,如果它运行它可能永远不会 GC 包含密码的字符串。
【讨论】:
如果你在客户端创建哈希,应该不需要考虑这个问题。明文密码永远不会提交给服务器。
【讨论】:
两个词:局部作用域。用于密码处理的声明变量需要具有可能的绝对最小范围。
一旦变量超出范围,对象就有资格进行垃圾回收。
通常,您是从请求中挑选内容。您需要一个非常非常小的事务来接受请求、散列密码、持久化并重定向。然后,您重定向到的页面可以获取内容并执行属于您的应用程序的所有“其他”处理。
【讨论】:
在 Java 中无法保证从内存中删除明文密码。
但是,黑客不需要访问程序的内存来获取明文密码。有很多更简单的方法(例如嗅探数据包),因此任何人都不太可能依赖这种方法。
最好的方法是让客户端按照@Mork0075 的建议加密密码。但是,虽然这意味着您无法轻易获取密码,但程序仍然可以获取密码的加密版本,从而伪装成用户。解决此问题的一种方法是使用 SSL 加密整个连接。
所有这些都是相当学术性的,因为黑客最简单的方法是监视发送到数据库的数据包并获取数据库的密码。我怀疑直接访问您的数据库更令人担忧……或者可能不是。 ;)
【讨论】:
使用密码挑战:
MD5(CONCAT(challenge, password)) 并将其分配给会话。此方法可防止重放攻击,但要求挑战值非常不可预测(随机)且不经常重复使用(长时间)。
纯文本密码仅在处理初始连接请求的范围内 - 而不是在身份验证期间。单向翻译结果在作用域内多久(不是垃圾收集)并不重要,因为它几乎没有重播价值。
【讨论】: