cliente BlackBerry que se autentica en Java Web Service

Navega tus respuestas
3

Ya hice esta pregunta en StackOverflow aquí: enlace y me dirigí a este sitio, cualquiera puede ¿Cómo puedo resolver este problema?

Los usuarios inician sesión en mi aplicación BlackBerry con un nombre de usuario y contraseña proporcionados en el registro. Mi aplicación se conecta a un servicio web de Java que hace toda la lógica.

  • ¿Cómo hago para almacenar la contraseña y el nombre de usuario de manera segura en mi servidor? Todo el mundo dice salazón y picadillo, pero no tengo idea de cómo hacerlo, ya que nunca he trabajado con él. ¿Cómo puedo hacer esto en Java?
  • ¿Cómo administro el envío seguro de la contraseña desde la aplicación al servidor?
pregunta 8vius 11.02.2011 - 20:22
fuente

2 respuestas

3

Hay una buena explicación de esto en el sitio web de OWASP, consulte la página Hashing Java .
Explica algunos de los detalles sobre el uso de hashes y por qué agregar un salt, también contiene ejemplos de código. Este puede ser un buen punto para comenzar.

En cuanto a asegurar el envío de las contraseñas desde la aplicación utilizando HTTPS en lugar de HTTP, si aún no es un buen comienzo.

    
respondido por el Mark Davidson 15.02.2011 - 13:09
fuente
3

Me sorprende que no hayamos encontrado una implementación estándar ampliamente adoptada para Java. Es un tema tan importante, y el código criptográfico puede ser muy difícil de hacer bien y mantenerse actualizado contra los ataques cada vez mejores que existen.

Me alegra ver que a partir de Java 6 hay una implementación de PBKDF2: PBKDF2WithHmacSHA1 en SunJCE. Consulte también la discusión sobre el uso del estándar PBKDF2 ( no PBKDF1) en un reciente PBKDF1 question . Y como se explica en las respuestas a su pregunta en StackOverflow, para versiones anteriores de Java, una implementación de eso se encuentra en Una implementación gratuita de Java de RFC 2898 / PKCS # 5 PBKDF2

También hay una respuesta de Java (use jBCrypt - hashing de contraseña segura para Java ), y alguna discusión útil sobre los problemas generales para el hashing de contraseñas, en Implementación de referencia del hashing de contraseñas de C # y verificación - Seguridad de TI .

El código de muestra de OWASP al que se hace referencia en otra respuesta no parece tan cuidadosamente descrito o examinado como me gustaría, pero no lo he comparado con los demás.

    
respondido por el nealmcb 15.02.2011 - 18:25
fuente

Lea otras preguntas en las etiquetas

¿En qué se diferencia CloudBleed de HeartBleed? [duplicar] ¿Cuál es el propósito de esta cookie?