Dev*_*esh 4 android amazon-web-services password-encryption amazon-dynamodb
我正在使用 amazon dynamodb 服务开发 Android 应用程序。
由于我必须保存用户基本信息和密码,所以请让我知道在 dynamodb 中保存密码的最佳方法是什么?
不要保存密码。不要保存密码的加密版本。保存 SHA-256 或 SHA-512 版本的密码。当用户登录时,将尝试的密码转换为相同的 SHA-256 或 SHA-512 值,并使用它来检查数据库中的内容。
还有其他更安全的哈希值,例如 pbkdf2、scrypt 和 argon2,您可以考虑使用这些哈希值来代替逐年变得更容易破解的 SHA 哈希值。
为什么不加密密码?如果有人掌握了您的数据库并暴力破解了您的加密方案,他们现在就拥有了您的所有密码。根据用户 ID 等数据的某些部分在密码中添加盐会有所帮助,但坚定的用户也可以解决这一问题。
如果用户忘记了密码,请使用他们的电子邮件地址和/或电话号码并向他们发送一个 15 分钟后过期的重置链接或类似的内容。
请记住一切都使用 https,切勿通过 http 传输密码的哈希值。
| 归档时间: |
|
| 查看次数: |
8828 次 |
| 最近记录: |