Каковы уязвимости отправки незашифрованного пароля на сервер?
Я пытаюсь зашифровать свой пароль с помощью bcrypt в Android Studio, но безрезультатно. Я исследовал это http://www.mindrot.org/files/jBCrypt/jBCrypt-0.2-doc/ но не может заставить эту библиотеку работать, и она, кажется, не была решена для пользователя, который задал вопрос.
Так что было бы безопасно отправлять пароль, не зашифрованный с помощью библиотеки Android Volley, и шифровать пароль в php, как только он был получен на сервере? Каковы уязвимости шифрования пароля из приложения?
Решение
Если вы отправляете свои пароли, не зашифрованные по незашифрованному каналу (например, обычный http без ssl), каждый может прочитать этот пароль.
Представьте, что пользователь вашего приложения вошел в общедоступную точку доступа WIFI. Если кто-то в этом Wi-Fi захватывает данные Wi-Fi, отправленные через сеть, он получит пакет, содержащий пароль и имя пользователя этого пользователя (учитывая, что этот пользователь должен войти в систему, когда он использует этот Wi-Fi).
Таким образом, вы можете использовать два решения:
- Вручную внедрить шифрование в вашем программном обеспечении на сервере и на стороне клиента
- Использовать существующее решение как SSL с HTTP (HTTPS)
Другие решения
Других решений пока нет …
detector