Inżynieria oprogramowania passwords

15

Dlaczego hasła powinny być szyfrowane, jeśli są przechowywane w bezpiecznej bazie danych?

Mam serwis internetowy. W tej chwili mam hasła zapisane w postaci zwykłego tekstu w tabeli MySQL na moim serwerze. Wiem, że to nie jest najlepsza praktyka i dlatego nad nią pracuję. Dlaczego hasła powinny być szyfrowane, jeśli są przechowywane w bezpiecznej bazie danych? Zdaję sobie sprawę, że jeśli ktoś włamie …

78 mysql encryption passwords

10

Czy są jakieś uzasadnione powody, aby nie dopuszczać znaków i ograniczać długości haseł?

Natknąłem się na kilka stron, które albo ograniczają długość, na jaką pozwalają na hasła, i / lub nie dopuszczają niektórych znaków. To mnie ogranicza, ponieważ chcę poszerzyć i wydłużyć przestrzeń wyszukiwania mojego hasła. Daje mi to również niewygodne wrażenie, że mogą nie mieszać. Czy istnieją dobre powody albo ustawiając górną …

39 security passwords

14

Co jeśli klient potrzebuje możliwości odzyskania haseł?

Obecnie odziedziczyłem aplikację w pracy i ku mojemu zdziwieniu zdałem sobie sprawę, że hasła użytkowników przechowywane w bazie danych są szyfrowane przy użyciu wewnętrznej funkcji szyfrowania, która obejmuje również możliwość deszyfrowania. Więc wszystko, co naprawdę trzeba zrobić, to skopiować tabelę użytkowników i skopiować zestaw szyfrowania (każdy z dostępem do produkcji …

34 security client-relations passwords

6

Aktualizacja skrótu hasła bez wymuszania nowego hasła dla istniejących użytkowników

Utrzymujesz istniejącą aplikację z ustaloną bazą użytkowników. Z czasem zdecydowano, że obecna technika haszowania haseł jest nieaktualna i wymaga aktualizacji. Ponadto, z powodów UX, nie chcesz, aby istniejący użytkownicy byli zmuszani do aktualizacji swojego hasła. Cała aktualizacja skrótu hasła musi odbywać się za ekranem. Załóżmy „uproszczony” model bazy danych dla …

32 security language-agnostic passwords

6

Wprowadzanie hasła w wywołaniu interfejsu API REST

Załóżmy, że mam interfejs API REST, który służy również do ustawiania / resetowania haseł. Załóżmy również, że działa to w przypadku połączeń HTTPS. Czy jest jakiś dobry powód, aby nie umieszczać tego hasła w ścieżce wywołania, powiedzmy też, że zakoduję je w BASE64? Przykładem może być zresetowanie hasła takiego: http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD …

31 rest passwords

5

Jak wdrożyć bezpieczną historię haseł

Hasła nie należy przechowywać w postaci zwykłego tekstu z oczywistych względów bezpieczeństwa: musisz przechowywać skróty, a także należy ostrożnie generować skrót, aby uniknąć ataków na tęczową tablicę. Zwykle jednak wymagane jest przechowywanie ostatnich n haseł i wymuszanie minimalnej złożoności i minimalnej zmiany między różnymi hasłami (aby uniemożliwić użytkownikowi korzystanie z …

23 security passwords

7

Cytaty za niewidoczność globalnie unikalnego hasła

Nie zgadzam się z kimś (klientem) w sprawie procesu identyfikacji / uwierzytelnienia użytkownika w systemie. Najważniejsze jest to, że chcą, aby każdy użytkownik miał globalnie unikalne hasło (tzn. Żaden z dwóch użytkowników nie może mieć tego samego hasła). Wyłożyłem wszystkie oczywiste argumenty przeciwko temu (jest to luka w zabezpieczeniach, myli …

20 security passwords

9

Czy „if password == XXXXXXX” wystarcza dla minimalnego bezpieczeństwa?

Jeśli utworzę login dla aplikacji o średnim lub niskim ryzyku bezpieczeństwa (innymi słowy, nie jest to aplikacja bankowa ani nic takiego), czy mogę zweryfikować hasło wprowadzone przez użytkownika, mówiąc tylko: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); Wydaje się, że łatwo jest być skutecznym, ale z pewnością nie miałbym nic przeciwko, …

20 security passwords validation

5

„Forgot Password” - jak sobie z tym poradzić?

Przeczytałem tę odpowiedź i znalazłem komentarz nalegający, aby nie wysyłać hasła e-mailem: hasła nie powinny być możliwe do odzyskania przez e-mail, nienawidzę tego. Oznacza to, że moje hasło jest gdzieś zapisane jako zwykły tekst. należy go zresetować. To nasuwa mi pytanie o obsługę opcji Forgot Password? Za wszelką cenę surowe …

18 programming-practices security email passwords

1

Czy istnieje oficjalny standard dotyczący praktyk przechowywania haseł użytkowników?

Niedawno skorzystałem z usługi rządowej, z której miałem konto od lat temu. Nie mogłem zapamiętać mojego hasła do usługi, więc skorzystałem z linku „zapomniałem hasła” i byłem zaskoczony, że ta rządowa witryna wysłała moje hasło na mój adres e-mail zwykłym tekstem. Jestem osobiście świadomy tego, jak radzić sobie z hasłami …

17 security standards passwords

6

Jak zapewnić użytkownikom, że witryna i hasła są bezpieczne [zamknięte]

Zamknięte . To pytanie jest oparte na opiniach . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby można było na nie odpowiedzieć faktami i cytatami, edytując ten post . Zamknięte 4 lata temu . Na niezawodnych stronach internetowych zawsze widzę oświadczenia, takie jak „Wszystkie dane są szyfrowane” …

15 security ethics encryption passwords hashing

4

Jak mogę oszacować entropię hasła?

Po przeczytaniu różnych zasobów na temat siły hasła próbuję stworzyć algorytm, który zapewni przybliżoną ocenę ilości entropii hasła. Próbuję stworzyć algorytm, który jest możliwie jak najbardziej wyczerpujący. W tym momencie mam tylko pseudokod, ale algorytm obejmuje następujące elementy: długość hasła powtarzające się postacie wzory (logiczne) różne przestrzenie znaków (LC, UC, …

14 algorithms passwords

8

Karanie użytkowników za niepewne hasła [zamknięte]

W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą fachową, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …

13 security passwords authorization risk permissions

5

Jeśli hasła są przechowywane w stanie mieszanym, skąd komputer wiedziałby, że twoje hasło jest podobne do ostatniego, jeśli spróbujesz je zresetować?

Jeśli hasła są przechowywane w stanie mieszanym, skąd komputer wiedziałby, że twoje hasło jest podobne do ostatniego, jeśli spróbujesz je zresetować? Czy dwa hasła nie byłyby zupełnie inne, skoro jedno zostało zaszyfrowane i nie można go odwrócić?

11 database security hashing passwords

1

Czy podczas tworzenia konta lepiej jest automatycznie wygenerować hasło i wysłać je do użytkownika, czy też pozwolić mu na utworzenie własnego hasła?

To pytanie pojawiło się dzisiaj podczas dyskusji z kolegą na temat strony „Utwórz konto” dla witryny, nad którą pracujemy. Mój kolega uważa, że rejestracja powinna przebiegać tak szybko i bezproblemowo, jak to możliwe, dlatego powinniśmy po prostu poprosić użytkownika o jego e-mail i zająć się resztą. Zgadzam się z tym …

11 security passwords

Pytania otagowane jako passwords