Salting / Hashing di una password

5

Non ho un background di sicurezza, quindi non sono sicuro dell'approccio migliore per questo, sto sviluppando un'app per Android a cui gli utenti dovranno accedere (tutti locali). Ho intenzione di memorizzare la password in un riferimento condiviso e ho trovato questo . Se ho capito bene, sembra che non lo stia salendo, quindi stavo pensando di aggiungere un digest.update (byte []) dopo il 'MessageDigest digest = MessageDigest.getInstance ("SHA-256");' linea. E 'un buon modo per farlo? O dovrei passare in base + sale all'hash come parametro?

Inoltre, un sale + hash è abbastanza sicuro? O è meglio usare semplicemente una funzione di crittografia reale (quelli che sto guardando in questo momento sono bCrypt e pbkdf2)? Aperto a qualsiasi consiglio.

    
posta Spider 17.10.2015 - 01:04
fonte

1 risposta

1

Dipende da cosa stai cercando di proteggere contro.

Se la password è convalidata dal codice che viene eseguito sull'app, è soggetta a manomissioni, quindi nessuna quantità di crittografia o hashing proteggerà contro la possibilità di eseguire il codice (manomesso) senza la password.

Se lo scopo della password è semplicemente quello di fornire un minimo di protezione contro l'abuso casuale (ad esempio, non vuoi che tua moglie apra l'app), l'hash locale + sale è probabilmente OK.

    
risposta data 17.10.2015 - 01:17
fonte

Leggi altre domande sui tag