为什么在密码问题上char[]比String更合适

最新推荐文章于 2022-12-15 20:54:28 发布
最新推荐文章于 2022-12-15 20:54:28 发布
阅读量394 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37501154/article/details/104851527
版权

任何与字符串相关的问题一定有线索可以在字符串的属性里面找到,比如不可变性。

1. 因为字符串是不可变对象,如果作为普通文本存储密码,那么它会一直存在内存中直至被垃圾收集器回收。因为字符串从字符串池中取出的(如果池中有该字符串就直接从池中获取,否则new 一个出来,然后把它放入池中),这样有很大的机会长期保留在内存中,这样会引发安全问题。因为任何可以访问内存的人能以明码的方式把密码dump出来。另外你还应该始终以加密而不是普通的文本来表示密码。因为字符串是不可变,因此没有任何方法可以改变其内容,任何改变都将产生一个新的字符串,而如果使用char[],你就可以设置所有的元素为空或者为零(这里作者的意思是说,让认证完后该数组不再使用了,就可以用零或者null覆盖原来的密码,防止别人从内存中dump出来)。所以存储密码用字符数组可以明显的降低密码被盗的危险。

2. Java官方本身也推荐字符数组,JpasswordField的方法getPassword()就是返回一个字符数组,而由于安全原因getText()方法是被废弃掉的,因为它返回一个纯文本字符串。跟随Java 团队的步伐吧,没有错。

3. 字符串以普通文本打印在在log文件或控制台中也易引起危险,但是如果使用数组你不能打印数组的内容,而是它的内存地址。尽管这不是它的真正原因,但仍值得注意。

String strPassword="Unknown";
char[] charPassword= new char[]{'U','n','k','w','o','n'};
System.out.println("String password: " + strPassword);
System.out.println("Character password: " + charPassword);
  
String password: Unknown
Character password: [C@110b053

尽管使用char[]还不足以安全。我同样建议你用hash或者密码加密代替普通文本,而且一旦认证完成尽可能快的把他清除掉。

babyWorld
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
十大常见Java String问题_动力节点Java学院整理
10-16
这使得它们在多线程环境下安全,但同时也意味着敏感信息(如密码)一旦被创建,其内容就无法消除。相比之下,char[]数组可以被显式地修改,允许在使用后将其清零,从而增加安全性。 3. **switch语句中的String ...
密码:可轻松在Haskell中使用密码的数据类型和功能
02-04
虽然在处理密码时,`ByteString`可能合适,但在与用户界面交互时,`Text`能好地处理文本输入。 对于密码的哈希,Haskell提供了多个库,如`cryptonite`或`hashable`。这些库实现了各种哈希算法,如SHA-256、...
Java - 为什么char数组比Java中的String适合存储密码
热门推荐
了解➔熟悉➔掌握➔精通
08-16 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net 1.由于字符串在Java中是不可变的,如果你将密码存储为纯文本,它将在内存中可用,直到垃圾收集器清除它。并且为了可重用性,会存储在字符串池中,它很可能会保留在内存中持续很长时间,从而构成安全威胁。 由于任何有权访问内存转储的人都可以以明文形式找到密...
为什么 char 数组比 String 适合存储密码
emprere的博客
08-09 217
另一个基于String的棘手 Java 问题,相信我只有很少的 Java 程序员可以正确回答这个问题。这是一个真正艰难的核心 Java 面试问题,并且需要对String的扎实知识...
为什么在密码问题char[]优先于String?
poijm
03-24 1633
问题 在Swing中,密码域(JPasswordField)用getPassword()函数(用来返回char[])取代getText()函数(返回字符串)。在工作中我得到类似的建议是不要用字符串去处理密码相关的问题,为什么涉及到密码问题时字符串会对安全构成威胁呢?(译注:这是提问者在Stackoverflow提了问题,他觉得用char[]处理密码并没有String方便,但为什么还要推荐使用
为什么 char[] 优于 String密码
kalman2019的博客
12-15 899
在 Swing 中,密码字段有一个 getPassword()(返回 char[])方法,而不是通常的 getText()(返回 String)方法。同样,我遇到了一个建议,不要使用 String 来处理密码。为什么在密码方面 String 会对安全构成威胁?使用char[]感觉不方便。
hashString
04-07
在IT领域,哈希(Hash)函数是一种将任意长度的输入转换为固定长度输出的算法。这个转换过程通常称为哈希或散列。哈希函数在数据结构、信息安全和密码学等多个方面都有广泛的应用。标题中的"hashString"指的是一个...
JAVA 字符串加密、密码加密实现方法
09-01
在Java编程中,字符串加密和密码加密是保护敏感信息的重要手段。本文主要介绍两种常见的Java字符串和密码加密方法:MD5加密。 方案一使用的是Java内置的`MessageDigest`类来实现MD5加密。MD5(Message-Digest ...
密码学3des+c语言代码及说明
10-01
DES是一种块密码,它对64位的数据块进行加密,其中7位用于奇偶校验,实际有效密钥长度为56位。3DES通过执行三次加密操作,提供了强的加密强度,有效密钥长度提升至112或168位。 3DES的工作流程如下: 1. **初始...
Java中的密码优先使用 char[] 而不是String
chenxin0703的博客
09-07 714
Java中的密码优先使用 char[] 而不是String 对于String。虽然String加载密码之后可以把这个变量扔掉,但是字符串并不会马上被GC回收,一但进程在GC执行到这个字符串之前被dump,dump出的的转储中就会含有这个明文的字符串。String本身是不可修改的,任何基于String的修改函数都是返回一个新的字符串,原有的还会在内存里。 对于char[]来说,你可以在抛弃它之前直接修
为什么密码char[]来存储比用String安全?
niuxiaoni2的博客
03-13 912
如果密码是存储在 Java String 对象中的,则直到对它进行垃圾收集或进程终止之前,密码会一直驻留在内存中。即使进行了垃圾收集,它仍会存在于空闲内存堆中,直到重用该内存空间为止。密码 String 在内存中驻留得越久,遭到qie听的危险性就越大。 糟的是,如果实际内存减少,则操作系统会将这个密码 String 换页调度到磁盘的交换空间,因此容易遭受磁盘块qie听...
为什么Java中的密码优先使用 char[] 而不是String
代码的未来
03-09 1465
作者按:这是一件非常纠结的事情,首先黑客dump JVM并不是一件容易发生的事,其次能dump的时候黑客肯定有其他办法获取用户密码,所以最保险稳妥的做法当然是从前台就消灭掉明文密码,参考人人网和新浪微博的登录,当然了,豆瓣的例子是反的,这么多年一直明文提交登录。 下面的答案来自知乎。 简单说:String是常量(即创建之后就无法改),会保存到常量池中,如果有其他进程可以dum
为什么char数组比Java中的String合适存储密码
weixin_57452805的博客
09-02 640
为什么char数组比Java中的String合适存储密码密码的使用最保险最稳妥的做法就是从前台消灭掉明文密码 首先,char[] 与 String 都可用来存储密码,但为什么char[] 比 String 适合存储密码呢? 关于明文泄露的数据 ​ String 是常量(即创建之后就无法改),会保存到常量池中,对于这种情况一旦拥有能够访问dump(转储)权限的人就可以通过明文的方式(如果有其他进程可以dump这个进程的内存,那么密码就会随着常量池被dump(转储)出去,从而泄露密码)获取到相应的数据
为什么使用字符数组保存密码比使用String保存密码好?
swagle的专栏
04-25 2508
java中为什么不用string保存密码,而是使用的字符数组来存储? 1)由于String在Java中是不可变的,如果你将密码以明文的形式保存成字符串,那么它将一直留在内存中,直到垃圾收集器把它清除。而由于字符串被放在字符串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间,而这将导致安全隐患,因为任何能够访问内存(memory dump内存转储)的人都能清晰的看到文本中的密码
尽量不要使用 String 来存储密码等敏感信息
赞哈哈的博客
05-19 2319
我们通常使用一个 String 类型变量来保存用户提交的密码等敏感信息,但实际上这是不安全的做法。 从 String 类的签名可以看到,String 的对象都是不可变的,也就是说 String 对象一旦被创建就不能通过任何方法(除了使用反射)对它进行修改,直到其被垃圾回收器回收(这段时间这个 String 对象通常会存在于常量池中)。这也就意味着在 String 对象被创建到垃圾回收器对它进行回收的这段时间,一旦内存被 dump,那么密码等敏感信息将以明文的形式暴露。 另外,我们可能在编程中无意的将密码打印
记一次内存泄漏DUMP分析
11-05 503
自从进入一家创业公司以后,逐渐忙成狗,却无所收获,感觉自身的技术能力用武之地很少,工作生活都在业务逻辑中颠倒。 前些天线上服务内存吃紧,让运维把DUMP拿下来,分析一下聊以自慰。 先来统计一下大对象信息 0:000> !dumpheap -min 85000 -stat Statistics: MT Count Total...
请你用代码具体实现上述问题的软件部分实现内容
最新发布
08-06
### 回答1: 抱歉,我的能力范围是自然语言处理和文本生成,无法直接提供代码实现。但你可以考虑以下步骤: 1. 学习自然语言处理和文本生成相关知识,包括语言模型、循环神经网络、生成对抗网络等; 2. 选择合适的深度学习框架,如TensorFlow、PyTorch等; 3. 根据需要,选择合适的语料库进行数据预处理和训练; 4. 设计并实现类ChatGPT的对话模型,包括输入、输出、损失函数等; 5. 进行训练并调整模型参数,以达到理想的对话效果; 6. 集成对话模型到具体的应用场景中,如微信公众号、智能客服等。 ### 回答2: 如何具体实现上述问题的软件部分内容,我们可以使用一个成熟的编程语言,比如Python,来编写一个程序。 1. 首先,我们可以定义一个函数,用来计算一个字符串中每个字符出现的次数。这个函数可以接收一个字符串作为参数,并返回一个字典,其中键为字符,值为字符在字符串中出现的次数。 ```python def count_characters(string): char_count = {} for char in string: if char in char_count: char_count[char] += 1 else: char_count[char] = 1 return char_count ``` 2. 接下来,我们可以定义一个函数,用来判断两个字符串是否互为变位词。这个函数可以接收两个字符串作为参数,并返回一个布尔值。 ```python def is_anagram(string1, string2): char_count1 = count_characters(string1) char_count2 = count_characters(string2) if len(char_count1) != len(char_count2): return False for char in char_count1: if char not in char_count2 or char_count1[char] != char_count2[char]: return False return True ``` 3. 最后,我们可以编写一个主函数,用来接收用户输入的两个字符串,并调用上述函数进行判断。 ```python def main(): string1 = input("请输入第一个字符串:") string2 = input("请输入第二个字符串:") if is_anagram(string1, string2): print("两个字符串是变位词!") else: print("两个字符串不是变位词!") ``` 通过以上代码,我们就实现了一个用来判断两个字符串是否互为变位词的程序。用户只需要输入两个字符串,程序就会输出判断结果。 ### 回答3: 要实现上述问题的软件部分实现内容,我们可以使用Python编程语言来编写代码。下面是一个简单的示例代码: ```python import random # 定义字母和数字的字符集合 letters = 'abcdefghijklmnopqrstuvwxyz' numbers = '1234567890' # 生成随机的用户名 def generate_username(): username = '' for i in range(6): # 随机选择字母或数字 if random.randint(0, 1) == 0: username += random.choice(letters) else: username += random.choice(numbers) return username # 生成随机的密码 def generate_password(): password = '' for i in range(8): # 随机选择字母或数字 if random.randint(0, 1) == 0: password += random.choice(letters) else: password += random.choice(numbers) return password # 生成指定数量的账号 def generate_accounts(num): accounts = [] for i in range(num): username = generate_username() password = generate_password() accounts.append({'username': username, 'password': password}) return accounts # 测试生成账号的功能 if __name__ == '__main__': num_of_accounts = 10 accounts = generate_accounts(num_of_accounts) for account in accounts: print('用户名:', account['username'], ' 密码:', account['password']) ``` 这个示例代码使用random模块来生成随机的用户名和密码,生成的用户名包括6位字母和数字的组合,密码包括8位字母和数字的组合。通过调用`generate_accounts()`函数,可以生成指定数量(num)的账号,并将账号以字典的形式存储在一个列表中。最后,通过遍历列表将生成的用户名和密码打印出来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值