u010089114 2019-07-28 23:13 采纳率: 46.7%
浏览 310
已采纳

android用户密码一般在哪个环节加密

是在客户端加密传输给服务器还是以明文走https/tls ,服务器端 BCrypt加密

  • 写回答

3条回答 默认 最新

  • threenewbee 2019-07-29 09:06
    关注

    你得搞清楚加密主要是为了防范什么。
    要防范4个环节:
    (1)有人捡到手机,从它的存储中获取“记住密码”功能而保存的明文密码
    对策:不应该在客户端存储密码的原文,而是应该存储token值(登录成功随机由服务器生成)。
    (2)私有的wifi的监听,中间人获取你的密码,或者伪造一个服务器端获取你的密码
    对策:使用SSL加密传输
    (3)服务器被攻破,俗称拖库,比如csdn 600万事件,某酒店开房数据泄漏事件。
    对策:服务器也不要存储明文密码,而是存储hash值,比如用md5/sha来存储。
    (4)有人虽然不知道你的密码,但是随机猜测、用同一个账户在别的网站的密码来尝试,或者用字典穷举
    对策:限制单位时间内尝试输入的密码的次数,验证码,防止机器穷举

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?