如何减少 Spring 内存中密码攻击的表面积?
How can I reduce the surface area of attacking a password in memory in Spring?
String 在 Java 中保留了一段时间,可能 a long while. This is a good thing, unless that String contains a user's actual password. Character arrays are suggested 因为它们不是不可变的并且可以更快地清除。 (我们希望永远不会有像 Heartbleed 那样工作但针对 JVM(远程堆转储)的 "Bitter Coffee" 攻击。
我注意到 Spring Security PasswordEncoder 采用 CharSequence 而不是字符串,可能是因为这个原因。但是我不确定我应该使用什么对象来将密码保存在内存预散列中。 StringBuilder 合适吗?那会是什么样子?我什至不确定我是否正在创建一个 REST API(通过 Spring 数据或 Spring MVC 在后台使用 Jackson)我如何才能避免它成为一个String.
如何为 creating/updating 密码编写 JSON REST API,同时尽可能安全并避免使用 String 时出现的各种问题?
How can I code a JSON REST API for creating/updating passwords whilst
being as secure as possible and avoiding the various problems with
using Strings?
好吧 API 密钥不是真正的密码。您可以控制 API 键的创建方式,因此您可以创建一些随机字符串,该字符串具有非常低的冲突(即双 UUID)和非常低的公共子字符串(在重复数据删除的情况下)。在客户端使用密钥通过 REST API 登录后,您可以使用临时令牌,从而提高 API 密钥被垃圾收集的可能性。
至于处理真实密码,这是人类登录的情况(可能重置 API 键),您实际上没有太多选择,因为几乎每个 servlet 容器都会转换请求参数成字符串。一个俗气的选择是让客户端通过 Javascript(或任何您的客户端)对密码进行 Base64 编码,然后添加分隔符,然后将随机生成的数字或字符串添加到密码中。这并不是真正的混淆,而是再次降低保留相同字符串的可能性。当然,您必须小心解码为 char 或字节数组,然后通过操作 char 或字节数组删除随机后缀(请参阅 CharBuffer)。
另一个复杂的选择是微服务云方法。只需制作一个由几个只进行身份验证的微小循环实例组成的身份验证服务。让那些 JVM 实例经常重新启动(以刷新内存)。或者,如果它们足够小,它们有望更频繁地进行垃圾收集。
我当然会假设您的数据存储库有加盐密码(否则此安全预防措施毫无意义)。
老实说,虽然还有很多其他威胁,但我认为对于 HTTP 服务器环境中的大多数用例来说,不值得为此付出努力。
之所以JavaSwing使用char[]作为密码,是因为Swing用于桌面环境。桌面环境中更有可能存在诸如 virus/spyware 之类的恶意程序,这些程序可能会对密码进行一些内存探测。
考虑到这一点,您真正应该担心的是客户端,而不是服务器。
String 在 Java 中保留了一段时间,可能 a long while. This is a good thing, unless that String contains a user's actual password. Character arrays are suggested 因为它们不是不可变的并且可以更快地清除。 (我们希望永远不会有像 Heartbleed 那样工作但针对 JVM(远程堆转储)的 "Bitter Coffee" 攻击。
我注意到 Spring Security PasswordEncoder 采用 CharSequence 而不是字符串,可能是因为这个原因。但是我不确定我应该使用什么对象来将密码保存在内存预散列中。 StringBuilder 合适吗?那会是什么样子?我什至不确定我是否正在创建一个 REST API(通过 Spring 数据或 Spring MVC 在后台使用 Jackson)我如何才能避免它成为一个String.
如何为 creating/updating 密码编写 JSON REST API,同时尽可能安全并避免使用 String 时出现的各种问题?
How can I code a JSON REST API for creating/updating passwords whilst being as secure as possible and avoiding the various problems with using Strings?
好吧 API 密钥不是真正的密码。您可以控制 API 键的创建方式,因此您可以创建一些随机字符串,该字符串具有非常低的冲突(即双 UUID)和非常低的公共子字符串(在重复数据删除的情况下)。在客户端使用密钥通过 REST API 登录后,您可以使用临时令牌,从而提高 API 密钥被垃圾收集的可能性。
至于处理真实密码,这是人类登录的情况(可能重置 API 键),您实际上没有太多选择,因为几乎每个 servlet 容器都会转换请求参数成字符串。一个俗气的选择是让客户端通过 Javascript(或任何您的客户端)对密码进行 Base64 编码,然后添加分隔符,然后将随机生成的数字或字符串添加到密码中。这并不是真正的混淆,而是再次降低保留相同字符串的可能性。当然,您必须小心解码为 char 或字节数组,然后通过操作 char 或字节数组删除随机后缀(请参阅 CharBuffer)。
另一个复杂的选择是微服务云方法。只需制作一个由几个只进行身份验证的微小循环实例组成的身份验证服务。让那些 JVM 实例经常重新启动(以刷新内存)。或者,如果它们足够小,它们有望更频繁地进行垃圾收集。
我当然会假设您的数据存储库有加盐密码(否则此安全预防措施毫无意义)。
老实说,虽然还有很多其他威胁,但我认为对于 HTTP 服务器环境中的大多数用例来说,不值得为此付出努力。
之所以JavaSwing使用char[]作为密码,是因为Swing用于桌面环境。桌面环境中更有可能存在诸如 virus/spyware 之类的恶意程序,这些程序可能会对密码进行一些内存探测。
考虑到这一点,您真正应该担心的是客户端,而不是服务器。