मेरे पास एक क्लाइंट एप्लिकेशन है जो एक सर्वर से सुरक्षित/SSL सॉकेट पर कनेक्ट होता है। ऐप शुरू होने पर उपयोगकर्ता को लॉग इन करने की आवश्यकता होती है। अभी मुझे एक आवश्यकता है कि मुझे पासवर्ड के हैश भेजने की पसंदीदा विधि के बजाय सर्वर पर वास्तविक पासवर्ड (एसएसएल पर एन्क्रिप्टेड) भेजने की आवश्यकता है। इसके साथ ही, मैं क्लाइंट मेमोरी में पासवर्ड को सुरक्षित रूप से संग्रहीत करने के बारे में कैसे जा सकता हूं, ताकि अगर मैं खोए गए कनेक्शन के कारण दृश्यों के पीछे सर्वर से पुनः कनेक्ट करने की आवश्यकता हो तो मैं इस पासवर्ड का पुनः उपयोग कर सकता हूं?बाद में पुन: कनेक्ट करने के लिए जावा क्लाइंट में सर्वर पासवर्ड कैसे स्टोर करें?
मैं आसानी से पासवर्ड एन्क्रिप्ट कर सकता हूं, या इसे एक कीस्टोर में भी डाल सकता हूं और इसे बाद में पुनः कनेक्ट करने के लिए पुनर्प्राप्त कर सकता हूं, हालांकि, अगर मैं ऐसा करता हूं, तो मुझे लगता है कि अगर कोई हैकर पासवर्ड प्राप्त कर सकता है तो उसे पासवर्ड प्राप्त हो सकता है एक डीबगर में आवेदन। क्या यह केवल जीवन का एक तथ्य है जब किसी को अस्थायी समय के लिए ग्राहक पर पासवर्ड स्टोर करने की आवश्यकता होती है?
क्या एक ही चीज़ प्राप्त करने का एक बेहतर/पसंदीदा तरीका है (यानी क्लाइंट को प्रारंभिक लॉगिन के बाद उपयोगकर्ता को अपना पासवर्ड दर्ज करने की आवश्यकता के बिना सर्वर से फिर से कनेक्ट करने की इजाजत देता है)? क्या सर्वर से भेजे गए एक समाप्ति लॉगिन टोकन जाने का एक बेहतर तरीका होगा (जहां मैं इस समाप्ति टोकन को फिर से कनेक्ट करने के बजाय पासवर्ड के बजाय सर्वर पर भेज सकता हूं)?
आखिरकार, सामान्य रूप से, किसी के लिए जावा डेस्कटॉप या एंड्रॉइड पर चल रहे एप्लिकेशन में डीबगर कनेक्ट करने के लिए कितना आसान है, जब एप्लिकेशन डिबगिंग प्रतीकों का सही ढंग से 'छीन लिया' है? क्या मुझे इस मामले के बारे में भी चिंता करने की ज़रूरत है, या जावा मेरे शिपिंग एप्लिकेशन को डिबगर, या अन्य मेमोरी विश्लेषक से बचाने के लिए संलग्न करेगा?
मुझे समझ में नहीं आ रहा है कि एक टोकन बल पर हमला करने की कोशिश कर रहे हैकर की तुलना में एक क्रूर बल हमले के लिए और अधिक असुरक्षित क्यों होगा? –
क्योंकि, आम तौर पर, टोकन पासवर्ड से अधिक संरचित होते हैं। इसके अलावा, टोकन को भेज दिया जाता है (क्योंकि इसे सर्वर की ओर से सत्र में मैप करना चाहिए), जबकि पासवर्ड धोया जा सकता है (उसी पासवर्ड को "अज्ञात" डेटा के समान मानचित्र; कम अनुमानित)। एक और जोखिम विकास प्रयास में है; अपेक्षाकृत "सरल" पासवर्ड तकनीक का उपयोग करते समय, एक सत्र और टोकन प्रमाणीकरण परत बनाना चाहिए, कम प्रयास की आवश्यकता है। मान लें कि एक प्रोग्रामर हर 5 मिनट में एक बग पेश करता है। लागू करने के लिए कम समय का मतलब है कम बग। – Pindatjuh