我们目前正在设计一款需要身份验证协议的智能手机应用程序。 我们将对所有消息使用HTTPS。这个想法如下:
问题是:我们是否会使用此协议遇到安全问题?
注意:密码和令牌存储在数据库中。
答案 0 :(得分:0)
安全性基于您用于加密的证书。一般来说这已经足够了,您也可以检查它是否是预期的证书。如果您自己检查证书的指纹,您可以确定(如果您使用sha1或更好)证书来自您而不是中间攻击中的成功人员。例如。 NSA可以简单地为您的域创建有效的证书,但是AFIK不可能生成具有相同指纹的第二个证书。
顺便说一下,我希望密码和问题也被腌制。这很重要,因此不可能看到两个客户使用相同的密码,并且还增加了散列的复杂性,这意味着使用彩虹表破解这样的密码将花费更多的时间。