-
23 votesanswersviews
在Java中安全存储密码的最佳做法是什么?
在Java桌面应用程序中存储密码的推荐方法是什么? 我希望用户能够只输入一次credencials而不会再次提示 . 在个人项目中,我一直在使用Preferences API,但我认为这与将其存储在纯文本(安全方面)没有什么不同 . 非常感谢 EDIT: 非常感谢你的建议 . 似乎有些混乱,毫无疑问,因为我可能没有把问题弄得很清楚...... 我将给出一个假设的场景: 假设我正在为远程数据库创建一... -
1 votesanswersviews
我通过电子邮件发送了我的密码,想确认这不安全[关闭]
我最近忘记了我的网站密码,并通过他们的支持流程来解决这个问题 . 他们用纯文本通过电子邮件将我的原始密码通过电子邮 我给他们发了一封严厉的电子邮件,说明电子邮件不是安全的传输协议,而且通过向我发送我的密码的纯文本版本,他们表示他们没有存储我的密码的哈希版本 . 我接着说,任何有权访问他们的数据库或者破解他们系统的人都可以访问密码 . 这些断言是否正确? -
19 votesanswersviews
Sequelize:不要返回密码
我正在使用Sequelize为用户记录执行数据库查找,我希望模型的默认行为 not 返回该记录的 password 字段 . password 字段是一个哈希,但我仍然不想返回它 . 我有几个选项可以使用,但似乎没有一个特别好: 为 User 模型创建自定义类方法 findWithoutPassword ,并在该方法中执行 User.find 并设置 attributes ,如Sequel... -
22 votesanswersviews
使用pbkdf2进行SALT和HASH
我使用以下方法从nodejs中的crypto lib创建salted和散列密码: crypto.randomBytes(size, [callback]) crypto.pbkdf2(password, salt, iterations, keylen, callback) 对于randomBytes调用(创建SALT),我应该使用什么尺寸?我听过128位盐,可能高达256位 . 看起来这个函数... -
1346 votesanswersviews
我应该如何道德地接近用户密码存储以便以后的明文检索?
随着我继续构建越来越多的网站和Web应用程序,我经常被要求以一种方式存储用户的密码,如果/当用户遇到问题时可以检索它们(要么通过电子邮件发送忘记的密码链接,请通过当我能够对抗这种做法时,我会做很多“额外”编程,以便在不存储实际密码的情况下进行密码重置和管理协助 . 当我无法抗争(或无法获胜)时,我总是以某种方式对密码进行编码,以至于它至少不会以明文形式存储在数据库中 - 尽管我知道如果我的数据库被...