此HTTPS身份验证协议安全吗?
[英]Is this HTTPS authentication protocol secure?
问题描述
我们当前正在设计需要身份验证协议的智能手机应用程序。 我们将对所有消息使用HTTPS。 这个想法如下:
- 客户端与服务器联系,并使用其用户名/密码进行身份验证。
- 服务器用存储在数据库中的随机生成的令牌答复。
- 要联系服务器,客户端现在使用其用户/令牌组合。
- 在他发送的每条消息中,服务器都有一定的概率重新生成它包含在其发送的消息中的新令牌。
问题是:使用此协议会遇到安全问题吗?
注意:密码和令牌以散列方式存储在数据库中。
1 个解决方案
解决方案1
0 已采纳 2013-08-26 18:21:52
安全性基于用于加密的证书。 通常,这足够了,您还可以检查它是否为预期的证书。 如果您自己检查证书的指纹,则可以确保(如果使用sha1或更高版本)证书来自您,而不是中间攻击的成功者。 例如,NSA可以简单地为您的域创建有效的证书,但是AFIK不可能生成具有相同指纹的第二个证书。
顺便说一句,我希望密码和密码也能正确处理。 这很重要,因此不可能看到两个客户使用相同的密码,而且这也增加了哈希的复杂性,这意味着用彩虹表破解这种密码将花费更多的时间。
安全的WCF服务,除了SSL协议外还需要哪种身份验证?
[英]Secure WCF service, what sort of authentication needed in addition to SSL protocol?
如何使jsp webapp swtich从安全(HTTPS)转换为非安全(HTTP)协议?
[英]How can I make my jsp webapp swtich from secure (HTTPS) to non-secure (HTTP) protocol?
通过安全的https连接进行CHAP身份验证真的有用吗?
[英]Is CHAP authentication really useful over a secure https connection?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.