这个HTTPS认证协议安全吗?
这个HTTPS认证协议安全吗?
提问于 2013-08-26 18:18:08
我们目前正在设计一个需要认证协议的智能手机应用程序。我们将对所有消息使用HTTPS。其想法如下:
- 客户端与服务器联系,并使用他的用户/密码组合进行身份验证。
- 服务器将使用存储在数据库中的ramdom生成令牌进行应答。
- 要联系服务器,客户端现在使用他/她的用户/令牌组合。
- 在他发送的每条消息中,服务器都有一定的概率重新生成它在发送的消息中包含的新令牌。
问题是:使用这个协议我们会有安全问题吗?
注意:密码和令牌存储在数据库中。
回答 1
Stack Overflow用户
回答已采纳
发布于 2013-08-26 18:21:52
安全性基于用于加密的证书。一般来说,这就足够了,您也可以检查它是否是预期的证书。在您检查证书指纹的情况下,您可以确保(如果使用sha1或更高版本)证书来自您,而不是在中间攻击中成功的人。例如,NSA可以简单地为您的域创建有效的证书,但是AFIK不可能用相同的指纹生成第二份证书。
顺便说一句,我希望密码和托克斯也是咸的。这一点很重要,因为不可能看到两个客户使用相同的密码,也增加了哈希的复杂性,这意味着用彩虹表破解这样的密码需要更多的时间。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/18450422
复制相关文章
相似问题
腾讯云开发者
