摘要: 本来想用MD5做散列来做密码传输的,无奈现在字典满天飞,而且已经被碰撞破解了。后打算用SHA1,但是到MD5.JS 上一看,人家作者推荐用SHA256或者更强的。好吧,那就改用SHA256好了。服务器端JAVA的MessageDigest类直接可以做SHA散列,不过散列完以后是Byte[]类型数据,所以还要再处理一下,使用apache的commons-codec库来做,就不自己写了。commons-codec库的下载地址:http://commons.apache.org/proper/commons-codec/download_codec.cgi代码是:(标红的是关键语句)import j 阅读全文
posted @ 2013-04-09 16:30 elar 阅读(18443) 评论(0) 推荐(2) 编辑
摘要: 《Using one-time passwords to prevent password phishing attacks》讲说可以使用一次性的密码,当用户注册时候,通过用户填写的联系方式,如手机或者email来发送一次性密码。之后的登录貌似也是一样的。《Kamouflage Loss-Resistant Password Management》斯坦福的。讲说一般的系统都只存储用户的密码S。他们提出一个框架是存储S + (N-1)个S的变种,认为当用户设备被盗时,黑客破解的时间会增加。不过没看完这篇,跟我们的需求不符。Digest access authenticationIt applie 阅读全文
posted @ 2013-04-09 10:36 elar 阅读(417) 评论(0) 推荐(0) 编辑