Làm thế nào để lưu trữ mật khẩu một cách an toàn trong bộ nhớ, khi tạo tài khoản?

Question

Các ứng dụng dựa trên web của chúng tôi có tài khoản người dùng gắn liền với người dùng có mật khẩu được chỉ định trong quá trình tạo tài khoản. Trong trường hợp của Java, làm thế nào để xử lý mật khẩu một cách an toàn, trước khi kiên trì băm của nó trong cơ sở dữ liệu.

Để cụ thể hơn, làm cách nào để đảm bảo rằng chuỗi giữ mật khẩu là rác được thu thập trong một khoảng thời gian đủ ngắn?

Answer 1

Nếu bạn có khả năng (có thể gặp khó khăn trong các ứng dụng web), sẽ tốt hơn nếu lưu trữ mật khẩu trong mảng ký tự hơn để lưu trữ chúng trong chuỗi. Nếu bạn đã hoàn thành việc lưu trữ mật khẩu, bạn có thể ghi đè lên nó trong bộ nhớ bằng cách sử dụng Array.fill() và làm tài liệu tham khảo dành cho các nhà sưu tập rác bằng cách loại bỏ nó:

Arrays.fill(password, ' '); 
password = null; 

Tôi chỉ nhận thấy rằng nulling mật khẩu sẽ là một chút hoang tưởng nhưng bạn có thể làm gì nếu nó cam đoan với bạn :)

Answer 2

Nếu bạn tạo băm ở phía máy khách, không cần phải suy nghĩ về vấn đề này. Mật khẩu đơn giản không bao giờ được gửi đến máy chủ.

Answer 3

Hai từ: Phạm vi cục bộ. Các biến được khai báo để xử lý mật khẩu cần phải có phạm vi nhỏ nhất tuyệt đối có thể.

Khi các biến nằm ngoài phạm vi, các đối tượng đủ điều kiện để thu thập rác.

Thông thường, bạn đang chọn mọi thứ theo yêu cầu. Bạn muốn có một giao dịch rất nhỏ, chấp nhận yêu cầu, băm mật khẩu, duy trì nó và chuyển hướng. Trang mà bạn chuyển hướng sau đó có thể tìm nạp nội dung và thực hiện tất cả quá trình xử lý "khác" là một phần của ứng dụng của bạn.

Answer 4

Không có cách nào để đảm bảo rằng mật khẩu văn bản rõ ràng bị xóa khỏi bộ nhớ trong Java.

Tuy nhiên, tin tặc không cần quyền truy cập vào bộ nhớ của chương trình để nhận mật khẩu văn bản rõ ràng. Có nhiều cách đơn giản hơn (chẳng hạn như đánh hơi các gói dữ liệu) nên rất khó có ai dựa vào phương pháp này.

Cách tiếp cận tốt nhất là yêu cầu khách hàng mã hóa mật khẩu như @ Mork0075 đề xuất. Tuy nhiên, trong khi nó có nghĩa là bạn không thể dễ dàng nhận được mật khẩu, một chương trình vẫn có thể nhận được phiên bản mã hóa của mật khẩu và do đó giả vờ là một người sử dụng. Một cách xung quanh việc này là mã hóa toàn bộ kết nối bằng SSL.

Tất cả điều này là khá học thuật, vì cách tiếp cận đơn giản nhất cho một hacker là theo dõi các gói dữ liệu đến cơ sở dữ liệu và lấy mật khẩu cho cơ sở dữ liệu của bạn. Tôi nghi ngờ truy cập trực tiếp vào cơ sở dữ liệu của bạn có liên quan nhiều hơn ... hoặc có lẽ nó không phải là. ;)

Answer 5

Sử dụng một thách thức mật khẩu:

1. server chọn một giá trị thách thức và gửi nó đến các khách hàng
2. Máy chủ thực hiện dịch 1 chiều với mật khẩu và thử thách, ví dụ. MD5(CONCAT(challenge, password)) và gán nó cho phiên.
3. Mật khẩu văn bản thuần túy hiện đã nằm ngoài phạm vi và sẵn sàng thu gom rác.
4. Khách hàng cũng thực hiện cùng một bản dịch và gửi kết quả đến Máy chủ.
5. Nếu Máy chủ và Máy khách chọn cùng giá trị cuối cùng, ứng dụng khách sẽ được xác thực.

Phương pháp này ngăn chặn các cuộc tấn công replay , nhưng đòi hỏi sự thách thức giá trị là rất khó lường (ngẫu nhiên) và không thường xuyên tái sử dụng (dài).

Mật khẩu thuần văn bản chỉ nằm trong phạm vi xử lý yêu cầu kết nối ban đầu - không phải trong quá trình xác thực. Nó không quan trọng bao lâu kết quả dịch thuật 1 chiều nằm trong phạm vi (không thu thập rác) vì nó có giá trị phát lại ít.

Answer 6

Bạn không sử dụng chuỗi. Bạn sử dụng một char [] và sau đó ghi đè lên char [] khi hoàn thành.

Hoàn toàn không có sự đảm bảo nào khi nói đến thu gom rác thải (ngoài việc bộ hoàn thiện sẽ chạy trước khi đối tượng được thu thập). GC có thể không bao giờ chạy, nếu nó chạy nó có thể không bao giờ GC chuỗi có mật khẩu trong đó.