应该使用 char[] 保存 Java 密码

以下内容引用《Java安全性, 第一部分: 密码学基础》:

存储／删除密码。如果密码是存储在 Java String 对象中的，则直到对它进行垃圾收集或进程终止之前，密码会一直驻留在内存中。即使进行了垃圾收集，它仍会存在于空闲内存堆中，直到重用该内存空间为止。密码 String 在内存中驻留得越久，遭到窃听的危险性就越大。

更糟的是，如果实际内存减少，则操作系统会将这个密码 String 换页调度到磁盘的交换空间，因此容易遭受磁盘块窃听攻击。

为了将这种泄密的可能性降至最低（但不是消除），您应该将密码存储在 char 数组中，并在使用后对其置零。（String 是不可变的，所以无法对其置零。）

.

• Announcement

  If no special statement, all my works are by default licenced under Creative Commons: (CN EN)

  What I logged in each post only represents my own opinions.

  Firefox, Opera and Chrome are the recommended browsers to this blog.

• Google Calendar

• What I'm doing now

  • feel sleepy[15 hours, 31 minutes ago]
  • Reading Google Android Developer Guide[3 days, 13 hours ago]
  • Google Android[4 days, 13 hours ago]
  • hello[6 days, 17 hours ago]
  • Researching Android development[1 week, 1 day ago]

• My Archives

  Select Month March 2010  (4) February 2010  (3) January 2010  (3) December 2009  (2) November 2009  (6) October 2009  (3) September 2009  (4) August 2009  (3) July 2009  (8) June 2009  (5) May 2009  (6) April 2009  (11) March 2009  (8) February 2009  (3) January 2009  (9) December 2008  (15) November 2008  (4) October 2008  (3) September 2008  (3) August 2008  (3) July 2008  (11) June 2008  (16) May 2008  (20) April 2008  (19) March 2008  (29) February 2008  (3) January 2008  (2) November 2007  (1) October 2007  (9) September 2007  (1) August 2007  (7) July 2007  (3) June 2007  (2) May 2007  (5) April 2007  (6) March 2007  (1) February 2007  (2) January 2007  (1) December 2006  (3) November 2006  (1) September 2006  (2) August 2006  (2) June 2006  (1) May 2006  (1)

• Recommended on Douban

• My Categories

  • Architecture (4)
  • Data Structure (1)
  • Database (10)
  • Design Patterns (12)
  • Java (114)
  • Mobile (3)
  • My Life (23)
  • My Music (1)
  • Operation Systems (27)
  • Scripts (21)
  • SOA (53)
  • Uncategorized (8)

• My Tags

  Android Ant AOP Apple Architecture Browser Database DesignPatterns Eclipse English Firefox google grails Groovy Hibernate IIS IOC JAAS Java Javascript JDK Linux mac MyLife NetBeans Oracle OS Others Plugins schema Scripts Servlet SOA SOAP Spring SQL SVN Ubuntu UDDI UML VIM Webservice Wordpress WSDL XML

• New Posts

  • Android 应用开发系列（二）基础知识-Activity和Task
  • Android 应用开发系列（二）基础知识-程序组件
  • Android 应用开发系列（一）简介
  • Install Java ME SDK 3.0
  • Dock any applications into system tray area in ubuntu
  • Downgrade in Ubuntu
  • Differences between WADL and WSDL 2.0 HTTP binding
  • Mockups For Desktop
  • 应该使用 char[] 保存 Java 密码
  • 本博客终于又重新启用了

• New Comments

  • javafuns on XML Schema 中 import 和 include 的区别
  • javafuns on XML Schema 中 import 和 include 的区别
  • intih on XML Schema 中 import 和 include 的区别
  • javafuns on 外送 10 个 google wave 邀请
  • 伊娃 on 外送 10 个 google wave 邀请
  • Java 中的 Properties | Open your thoughts on 巧妙装载你的properties
  • javafuns on Groovy 学习笔记 (一)
  • 时尚起义 on Groovy 学习笔记 (一)
  • javafuns on 求自然数n以内的质数
  • Reading - Java™ Servlet Specification Version 2.4 - Dispatching Requests | Open your thoughts on servlet 2.4 RequestDispatcher 的一些要点

• My Favourites

  • Android Developers
  • IBM developerWorks 中国
  • JavaFX | RIAs JavaFX
  • OPhone开发者社区
  • Service Component Architecture Partners
  • Sun 中国技术社区
  • Tuscany中文社区
  • 中国移动应用软件商店

• My Friends

  • Keer Studio
  • 邢鸿瑞的Blog

• My links

  • @baidu.com
  • @blogger.org.cn
  • @blogjava.net
  • @csdn.net
  • @del.icio.us.com
  • @douban.com
  • @FriendFeed.com
  • @Jaiku.com
  • @twitter.com

• My Workmates

  • 120Mobile
  • Anthony Wong’s blog

• Open Source Projects involved in

  • SiteVelocity

• Other Links

  • 时尚起义

• Programmers

  • Adam Bien’s Weblog
  • Java father – James Gosling

• Google Friend Connect

• G Friends’ Comments

• Subscribe Me

  
  

• Meta

  • Register
  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org

Highest Rated

• Redhat Linux 查看cpu、memory 等命令 (5.00 out of 5)
• 求自然数n以内的质数 (5.00 out of 5)
• XML Schema 中 dateTime 类型的解释 (5.00 out of 5)
• 也谈谈 JAAS (5.00 out of 5)
• 制作了一个wordpress的收藏插件 (4.00 out of 5)
• web.xml 中 resource-ref 的注意事项 (4.00 out of 5)
• Ant 静默输出 (4.00 out of 5)
• Spring notes(三) － Resource (3.00 out of 5)
• Install a simple SVN Server yourself (3.00 out of 5)
• Java Scripting Programmer’s Guide (1.00 out of 5)

My PicasaPhotos

My del.icio.us

• NetBeans Java ME CDC 开发快速入门指南
• NetBeans CDC Emulator Platform Setup Guide
• InfoQ: Web开发必知的八种隔离级别
• apache@renren
• 铁路客户服务中心
• Password Masking in the Java Programming Language
• VirtualBox® Images
• JSSE Reference Guide for Java SE 6
• apache@chinaunix.net
• IBM developerWorks 中国 : Java 标准与规范
• Enterprise Java Community: Scaling Your Java EE Applications - Part 2
• Java theory and practice: Going atomic
• Java Security Architecture: Contents
• The Java™ Tutorials
• SOA Governance Resource Guide

My RSS