Client BlackBerry che esegue l'autenticazione con il servizio Web Java

3

Ho già fatto questa domanda a StackOverflow qui: link ed è stato indirizzato a questo sito, può chiunque passo come posso risolvere questo problema?

Gli utenti accedono alla mia app BlackBerry con un nome utente e una password forniti al momento della registrazione. La mia app si collega a un servizio Web Java che fa tutta la logica.

  • Come faccio a memorizzare la password e il nome utente in modo sicuro sul mio server? Tutti dicono salatura e hashing, ma non ho idea di come farlo, visto che non ci ho mai lavorato. Come posso farlo in Java?
  • Come gestisco l'invio della password in modo sicuro dall'app al server?
posta 8vius 11.02.2011 - 20:22
fonte

2 risposte

3

C'è una buona spiegazione di ciò sul sito web OWASP, vedi la pagina Hashing Java .
Spiega alcuni dettagli sull'uso degli hash e perché aggiungere un salt, contiene anche esempi di codice. Questo potrebbe essere un buon punto di partenza.

Per quanto riguarda la sicurezza di inviare le password dall'app utilizzando HTTPS anziché HTTP se il tuo non è già un buon inizio.

    
risposta data 15.02.2011 - 13:09
fonte
3

Sono sorpreso che non abbiamo trovato un'implementazione standard ampiamente adottata di questo per Java. È un argomento così importante, e il codice crittografico può essere molto difficile da ottenere e tenere aggiornato contro gli attacchi sempre migliori in circolazione.

Sono contento di vedere che a partire da Java 6 c'è un'implementazione di PBKDF2: PBKDF2WithHmacSHA1 in SunJCE. Vedi anche la discussione sull'uso dello standard PBKDF2 ( non PBKDF1) in un recente Domanda PBKDF1 . E come discusso nelle risposte alla tua domanda su StackOverflow, per le versioni precedenti di Java, un'implementazione di questo è in Un'implementazione Java gratuita di RFC 2898 / PKCS # 5 PBKDF2

C'è anche una risposta Java (usa jBCrypt - hashing con password strong per Java ), e qualche discussione utile su i problemi generali per l'hashing della password, all'indirizzo Implementazione di riferimento dell'hash della password C # e verifica - Sicurezza IT .

Il codice di esempio OWASP a cui si fa riferimento in un'altra risposta non sembra come accuratamente descritto o esaminato come spero, ma non l'ho confrontato con gli altri.

    
risposta data 15.02.2011 - 18:25
fonte

Leggi altre domande sui tag