[英]Is this HTTPS authentication protocol secure?
我们当前正在设计需要身份验证协议的智能手机应用程序。 我们将对所有消息使用HTTPS。 这个想法如下:
问题是:使用此协议会遇到安全问题吗?
注意:密码和令牌以散列方式存储在数据库中。
安全性基于用于加密的证书。 通常,这足够了,您还可以检查它是否为预期的证书。 如果您自己检查证书的指纹,则可以确保(如果使用sha1或更高版本)证书来自您,而不是中间攻击的成功者。 例如,NSA可以简单地为您的域创建有效的证书,但是AFIK不可能生成具有相同指纹的第二个证书。
顺便说一句,我希望密码和密码也能正确处理。 这很重要,因此不可能看到两个客户使用相同的密码,而且这也增加了哈希的复杂性,这意味着用彩虹表破解这种密码将花费更多的时间。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.