问题标签 [securestring]

尝试访问 FTP 站点时，我可以在凭据中使用纯文本密码，它工作正常，但是当我使用 SecureString 时，它无法进行身份验证。例子：

工作正常。但以下失败

但这无法进行身份验证。我有什么误解？

（顺便说一句，我知道我不想在我的脚本中使用纯文本 pw。这只是一个例子。）

如何最安全地发送字符串。加密有问题。我在 iPhone 中的加密值与 webapp 不相似。

因此，请建议从 iphone 发送字符串的最安全形式（加密除外）。

提前致谢。

为什么在地球上有人会在枚举其中的字符之前将字符串转换为 char[] ？在网上找到的初始化 System.Security.SecureString 的常规模式如下：

调用 ToCharArray() 对我来说毫无意义。有人可以告诉我这里是否错了吗？

我最近发现了 SecureString，它似乎适合一个完美的应用程序，我想在应用程序开始时基本上初始化一个静态秘密字符串，然后将其设为只读并在应用程序的整个生命周期中使用它（作为一个哈希）。

我无法理解如何使用 SecureString 类。据我所知，您可以设置 SecureString，但无法比较值或以任何方式检索值。

如果这个类是只写的，它的目的是什么？

我一直在使用 C# 为自己编写一个小程序，我可以用它来存储我的密码，然后检索它们以进行查看/编辑。

虽然密码以加密格式存储到磁盘中，但当它们被读入内存以在表单上显示/编辑时，它们是未加密的。

我了解到，在内存中有未加密的密码是一个相当大的安全问题，所以我遇到了这SecureString门课。

有没有比使用SecureString类更安全的方法，还是SecureString名副其实？

这样做有什么更好的吗

比这个

或这个

如果我想保护“abc”不被反编译的 MSIL 代码检测到？

根据 MSDN，SecureString内容被加密以提高安全性，因此如果将程序交换到磁盘，则无法嗅探字符串内容。

我想知道这种加密怎么可能？该算法将是固定的，因此要么是众所周知的，要么是可扣除的（比如工业算法中广泛使用的七种算法之一），并且程序中的某处必须有一个密钥。因此，攻击者可以获取加密字符串、获取密钥并解密数据。

这种加密如何有用？

我有一个登录窗口，可以从用户那里获取用户名和密码，我想知道处理密码的最佳方法。用户名只是一个普通的文本框，但密码是一个密码框。我将用户名直接传递给 ViewModel，但仅在使用 Code-Behind 单击 Login 按钮后才在 ViewModel 上设置 SecureString 属性。设置密码 SecureString 后，我想验证。

我现在正在编写 LoginBox，但我还没有完全设计好模型。我应该如何将密码存储在 SQL Server 中？我是否只是将 SecureString 的内容写入 SQL，然后在用户尝试登录时尝试比较它？

我看到了这个线程：

我什么时候需要 .NET 中的 SecureString？

那里的代码：

对比

而且我确实理解第二个的好处（逐个字符添加） - 这样黑客将无法跟踪内存中随机位置的所有字符（而不是他可以找到的内存中的一个字符串）。

我不理解的部分是那部分：

那个黄色代码恭敬地在记忆中！

所以……好处在哪里？

在这个问题中，Erik 需要在 Node.js 中生成一个安全的随机令牌。有crypto.randomBytes生成随机缓冲区的方法。但是，node 中的 base64 编码不是 url 安全的，它包含/and+而不是-and _。因此，我发现生成此类令牌的最简单方法是

有没有更优雅的方式？