Безопасен ли протокол аутентификации HTTPS?

Question

В настоящее время мы разрабатываем приложение для смартфонов, которому необходим протокол аутентификации. Мы будем использовать HTTPS для всех сообщений. Идея заключается в следующем:

1. Клиент связывается с сервером и выполняет аутентификацию с помощью комбинации пользователя и пароля.
2. Серверы ответят с помощью маркера, созданного ramdom, который хранится в базе данных.
3. Чтобы связаться с сервером, клиент теперь использует свою комбинацию пользователя/токена.
4. В каждом отправляемом сообщении сервер имеет определенную вероятность восстановить новый токен, который он включает в отправляемое сообщение.

Вопрос: будем ли мы иметь проблемы с безопасностью, используя этот протокол?

Примечание: пароли и токены сохраняются хэшированными в базе данных.

Answer 1

Основания безопасности для сертификата, который вы используете для шифрования. В общем, этого достаточно, вы также можете проверить, является ли он ожидаемым сертификатом. В случае, если вы проверяете себя отпечаток сертификата, вы можете быть уверены (если используете sha1 или лучше), что сертификат от вас, а не успешный человек в средней атаке. Например. NSA может просто создать действительные сертификаты для вашего домена, но AFIK невозможно создать второй certficate с тем же самым отпечатком.

Кстати, я надеюсь, что пароли и tokes также соленые. Это важно, так что невозможно понять, что два клиента используют один и тот же пароль, а также увеличивает сложность хэша, это означает, что для взлома такого пароля потребуется еще больше времени с помощью таблицы радуги.