为什么密码用char[]来存储比用String安全?

最新推荐文章于 2022-12-15 20:54:28 发布
最新推荐文章于 2022-12-15 20:54:28 发布
阅读量912 收藏 2
点赞数
文章标签: 数据库 java 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niuxiaoni2/article/details/83854683
版权
如果密码是存储在 Java String 对象中的,则直到对它进行垃圾收集或进程终止之前,密码会一直驻留在内存中。即使进行了垃圾收集,它仍会存在于空闲内存堆中,直到重用该内存空间为止。密码 String 在内存中驻留得越久,遭到qie听的危险性就越大。
更糟的是,如果实际内存减少,则操作系统会将这个密码 String 换页调度到磁盘的交换空间,因此容易遭受磁盘块qie听攻击。
为了将这种泄密的可能性降至最低(但不是消除),您应该将密码存储在 char 数组中,并在使用后对其置零。(String 是不可变的,所以无法对其置零。)
niuxiaoni2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Javachar数组(字符数组)与字符串String类型的转换方法
09-03
例如,当用户在`jPasswordField`中输入密码后,我们可能需要将获取到的`char`数组转换为`String`,以便存储或验证密码。在其他情况下,如格式化输出或拼接字符串时,可能会先将`String`转换为`char`数组,然后再进行...
Java中的String为什么是不可变的共7页.pdf.z
10-30
同时,它的`char`数组(用于存储字符串)被声明为私有的,并且没有提供修改数组内容的方法。所有看起来像修改`String`的操作,如`substring()`、`concat()`或`replace()`,都会返回一个新的`String`对象,而原对象...
为什么 char 数组比 String 更适合存储密码
Java技术栈,分享最主流的Java技术
08-02 421
Java技术栈www.javastack.cn打开网站看更多优质文章推荐阅读:5 个刁钻的 String 面试题!另一个基于 String 的棘手 Java 问题,相信我只有很少的 Ja...
为什么char数组比Java中的String更合适存储密码
weixin_57452805的博客
09-02 640
为什么char数组比Java中的String更合适存储密码密码的使用最保险最稳妥的做法就是从前台消灭掉明文密码 首先,char[] 与 String 都可用来存储密码,但为什么char[] 比 String 更适合存储密码呢? 关于明文泄露的数据 ​ String 是常量(即创建之后就无法更改),会保存到常量池中,对于这种情况一旦拥有能够访问dump(转储)权限的人就可以通过明文的方式(如果有其他进程可以dump这个进程的内存,那么密码就会随着常量池被dump(转储)出去,从而泄露密码)获取到相应的数据
Java基础 -> 为什么 char 数组比 Java 中的 String 更适合存储密码
rod0320的博客
02-28 586
为什么 char 数组比 Java 中的 String 更适合存储密码? 由于字符串在 Java 中是不可变的,如果你将密码存储为纯文本,它将在内存中可用,直到垃圾收集器清除它. 我们应该要加密一下这个密码,重新保存一个加密后的,但是字符串不可变的原因,就算改了,之前的密码依旧在内存中有一段时间存活 并且为了可重用性,会存在 String 在字符串池中, 它很可能会保留在内存中持续很长时间,从而构成安全威胁。 String 在字符串池会获得比我们想象的更加久,这对密码来说是有安全隐患的
为什么 char[] 优于 String密码
kalman2019的博客
12-15 899
在 Swing 中,密码字段有一个 getPassword()(返回 char[])方法,而不是通常的 getText()(返回 String)方法。同样,我遇到了一个建议,不要使用 String 来处理密码。为什么在密码方面 String 会对安全构成威胁?使用char[]感觉不方便。
为什么Java中的密码优先使用 char[] 而不是String
代码的未来
03-09 1465
作者按:这是一件非常纠结的事情,首先黑客dump JVM并不是一件容易发生的事,其次能dump的时候黑客肯定有其他办法获取用户密码,所以最保险稳妥的做法当然是从前台就消灭掉明文密码,参考人人网和新浪微博的登录,当然了,豆瓣的例子是反的,这么多年一直明文提交登录。 下面的答案来自知乎。 简单说:String是常量(即创建之后就无法更改),会保存到常量池中,如果有其他进程可以dum
MySQL在Linux系统中隐藏命令行中的密码的方法
09-10
此外,对于MySQL,还可以考虑使用`mysql_config_editor`工具来存储和管理密码,以提高安全性。 总的来说,隐藏命令行中的密码是一种必要的安全措施,特别是在多用户环境中。本文提供的C程序提供了一种简单的方法,...
MD5.rar_md5string
09-19
MD5在信息安全领域扮演着重要角色,例如文件校验、密码存储等。 在提供的标题"MD5.rar_md5string"中,我们可以推测这是一个关于MD5实现的压缩包,特别关注的是生成MD5字符串的功能。"MD5String"可能是一个函数或类...
c语言实现常用密码算法
最新发布
06-19
在实际应用中,这些密码算法通常结合使用,例如使用非对称算法交换对称密钥,然后用对称密钥进行数据加密,以平衡安全性和效率。了解并熟练掌握这些算法的C语言实现,对于开发安全的软件系统至关重要。在`crypto-...
为什么存储密码字符数组比字符串更合适?
晚晴小筑
04-25 2198
记得这是 《java核心技术》这本书中的一句话,当时读到时也是各种疑惑。 String 的存在在很大程度上就是取代字符数组char[] ,为何又推荐密码使用字符数组保存? 我们知道,字符数组和字符串都可以用于存储文本数据。 任何与字符串相关的问题一定可以从字符串的属性里面找到线索,比如不可变性。 对于String password1 = "1q2w3e";,String实例(本...
对于一些敏感的数据(例如密码),为什么使用字符数组存储比使用String安全
Rosen's
12-08 1001
Java语言中,String是不可变类,它被存储在常量字符串池中,从而实现了字符串的共享,减少了内存的开支。 正因为如此,一旦一个String类型的字符串被创建出来,这个字符串就会存在于常量池中,直到被垃圾回收器回收为止。 因此,即使这个字符串(比如密码)不再被使用,它仍然会在内存中存在一段时间(只有垃圾回收器才会回收这块内容,程序员没有办法直接回收字符串)。此时有权限访问memory dump(存储器转储)的程序都可能会访问到这个字符串,从而把敏感的数据暴露出去,这是一个非常大的安全隐患。 如果使用.
stringchar *的区别
amyego2015的博客
10-17 222
转自https://blog.csdn.net/u010275850/article/details/77512695 https://blog.csdn.net/steft/article/details/60126077 1、定义: stringstring是STL当中的一个容器,对其进行了封装,所以操作起来非常方便。 char*:char *是一个指针,可以指向一个字符串...
尽量不要使用 String存储密码等敏感信息
赞哈哈的博客
05-19 2319
我们通常使用一个 String 类型变量来保存用户提交的密码等敏感信息,但实际上这是不安全的做法。 从 String 类的签名可以看到,String 的对象都是不可变的,也就是说 String 对象一旦被创建就不能通过任何方法(除了使用反射)对它进行修改,直到其被垃圾回收器回收(这段时间这个 String 对象通常会存在于常量池中)。这也就意味着在 String 对象被创建到垃圾回收器对它进行回收的这段时间,一旦内存被 dump,那么密码等敏感信息将以明文的形式暴露。 另外,我们可能在编程中无意的将密码打印
为什么在密码问题上char[]优先于String?
poijm
03-24 1633
问题 在Swing中,密码域(JPasswordField)用getPassword()函数(用来返回char[])取代getText()函数(返回字符串)。在工作中我得到类似的建议是不要用字符串去处理密码相关的问题,为什么涉及到密码问题时字符串会对安全构成威胁呢?(译注:这是提问者在Stackoverflow提了问题,他觉得用char[]处理密码并没有String方便,但为什么还要推荐使用
Java - 为什么char数组比Java中的String更适合存储密码
热门推荐
了解➔熟悉➔掌握➔精通
08-16 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net 1.由于字符串在Java中是不可变的,如果你将密码存储为纯文本,它将在内存中可用,直到垃圾收集器清除它。并且为了可重用性,会存储在字符串池中,它很可能会保留在内存中持续很长时间,从而构成安全威胁。 由于任何有权访问内存转储的人都可以以明文形式找到密...
Java中的密码优先使用 char[] 而不是String
Forward__的博客
10-26 2694
由于StringJava中是不可变的,如果你将密码以明文的形式保存成字符串,那么它将一直留在内存中,直到垃圾收集器把它清除。而由于字符串被放在字符串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间,而这将导致安全隐患,因为任何能够访问内存(memory dump内存转储)的人都能清晰的看到文本中的密码,这也是为什么你应该总是使用加密的形式而不是明文来保存密码。由于字符串是不可变的,所以
stringchar的区别
03-29
3. 内存占用:string通常需要更多的内存空间来存储,因为它需要为字符串分配足够的内存,而char只需要一个字节的内存空间。 4. 操作:string支持更多的操作,如字符串拼接、截取、查找和替换等。而char只能进行基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值