Лучший способ отправки информации для входа - приложение для Android

Question

Я создаю свое собственное приложение для Android, но я вроде застрял в части входа в систему.Теперь я знаю, как отправить свое имя пользователя и пароль, как обычный текст, через SSL в мой собственный API, но это, конечно, не самое безопасное решение.

Мне было интересно, если у кого-нибудь из вас есть какие-то предложения попопробуйте (с оглядкой на безопасность), приложение все еще находится в стадии разработки (разработка фактически только началась), так что все может быть изменено или реализовано (то же самое для API).

С уважением

Answer 1

Если ваш сервер имеет настоящий сертификат, это безопасно, потому что SSL шифрует его.

Вам потребуется обновить процесс аутентификации, чтобы замедлить атаки методом перебора (т.е. блокировка после 5 неправильных входов в систему)

Answer 2

В зависимости от связи между клиентом и сервером вы можете реализовать запрос-ответ, когда сервер выдает солт-значение, которое предшествует паролю, введенному пользователем перед хэшированием.

Пример:

• Пользователь создает учетную запись с именем пользователя "BobbyUser" с паролем "CleverBobby"

Операция входа

• Пользователь подключается к серверу изапрашивает соль для "BobbyUser"
• Сервер возвращает соль "QBX123"
• Пользователь отправляет hash_function("QBX123" + "CleverBobby")

Этот подход действительно бесполезен, если вы нешифрование ваших паролей симметричным ключом вместо одностороннего хэша (который будет иметь свои собственные проблемы), таким образом, значение соли не нужно хранить и может быть сгенерировано на лету, в противном случае оно одинаково восприимчиво к атакам воспроизведения, только труднее читать.

Тем не менее, ответ l_39217_l верен, проще и, вероятно, безопаснее.