有谁知道如何在 j2me 程序的源代码中隐藏密码内容?也就是说,阅读源代码的人看不到“DBT”作为密码。
public void validateUser(String user, String Password) {
if (user.equals("N0203251") && Password.equals("DBT")) {
switchDisplayable(null, getContinue());
}
}
【问题讨论】:
正如其他人所说。存储哈希值,但您仍需要使用强密码,否则自动猜测器会找到您正在使用的密码。
但是,请注意:
如果您的攻击者有权访问源代码,他/她/它可以更改存储的密码哈希或仅删除密码检查。
所以这个方法用处不大,除非你能验证正在运行的代码的完整性,这是困难。
【讨论】:
归根结底,您已经在程序中编写了一个后门。这是一件坏事 - 不要这样做。
正如其他人所说,使用哈希可以做得更好,但忽略了一些关键的事情。当有人猜出密码时,他们就会知道每个已安装软件副本的密码。由于密码是硬编码的,没有人可以更改或撤销它,因此您将在程序中插入一个没有人可以消除的后门。而且,如果您依赖该密码或与其他资源进行任何通信,则永远无法更改它 - 至少,如果没有大量的额外工作,则不会。
您真正应该做的是将密码放在外部位置,例如硬件安全模块、密码文件或数据库表。然后,实施完整的密码更改和轮换机制 - 老实说,这应该与您在所有密码中使用的机制几乎相同。
【讨论】:
您可以存储密码的哈希值 (MD5 / SHA1),并将其与提供的密码的哈希值进行比较。
确保您在外部计算哈希,以避免在可执行文件的任何地方提及原始密码。
【讨论】:
使用hashes the password 的函数 - 将密码的哈希值保留在源中,而不是密码本身。
来自该页面的引用:
一个相关的应用是密码 确认。密码通常是 不以明文形式存储,显然 原因,而是以摘要形式。 要对用户进行身份验证,请输入密码 由用户呈现的散列和 与存储的哈希值相比。这是 有时称为单向 加密。
【讨论】:
如果您将应用程序存储在用户的移动设备上,您能做的最好的事情就是尝试隐藏密码。我建议使用某种散列算法(可能是 SHA1)或密钥派生算法(如 PBKDF2)并存储结果,而不是与明文密码进行比较。
【讨论】:
存储哈希值而不是密码绝对不会为您带来任何好处。由于现在使用哈希而不是密码进行身份验证,因此读取源代码(或反转目标代码)将揭示哈希并允许攻击者进行身份验证。
这些问题的答案总是一样的。如果您使用硬编码的客户端机密,无论您做什么,都无法实现任何可衡量的安全性。你能做的最好的就是足够模糊,直到你有一种温暖的模糊感觉,它已经足够好了。
【讨论】: