标签: java security encryption passwords
我计划在会话期间将明文密码存储在内存中,并希望得到一些关于这种不安全程度的反馈。存储密码的原因在于,当应用程序的用户执行某些操作时,它将在会话期间多次使用以在后台加密和解密数据。我认为每次让用户输入密码会更安全,但这会导致用户体验非常差,所以我试图提出尽可能安全的解决方案,而不会刺激用户。< / p>
答案 0 :(得分:0)
请勿使用密码直接加密/解密数据,您应该从密码中获取密钥(请参阅PBKDF2)。这种用于加密/解密的派生密钥更安全地存储在内存中很长一段时间。