Вопросы с тегом «passwords»

Пароль - это секретное слово или строка символов, которые используются для аутентификации, подтверждения личности или получения доступа к ресурсу.

15
Почему пароли должны быть зашифрованы, если они хранятся в защищенной базе данных?
У меня есть веб-сервис. Прямо сейчас у меня на сервере хранятся пароли в виде простого текста в таблице MySQL . Я знаю, что это не лучшая практика, и именно поэтому я работаю над этим. Почему пароли должны быть зашифрованы, если они хранятся в защищенной базе данных? Я понимаю, что если …

10
Существуют ли веские причины для запрета символов и ограничения длины паролей?
Я встречал довольно много сайтов, которые либо ограничивают длину паролей и / или запрещают определенные символы. Это ограничивает меня, так как я хочу расширить и увеличить пространство поиска моего пароля. Это также дает мне неприятное ощущение, что они могут не хэшироваться. Есть ли веские причины для установки верхней длины или …

14
Что если клиенту нужна возможность восстановить пароли?
В настоящее время я унаследовал приложение на работе и, к своему ужасу, понял, что пароли пользователей, хранящиеся в базе данных, зашифрованы с использованием внутренней функции шифрования, которая также включает в себя возможность дешифрования. Поэтому все, что кому-то действительно нужно сделать, это скопировать таблицу пользователей и скопировать сборку шифрования (любой, у …

6
Обновление хэширования пароля без принудительного ввода нового пароля для существующих пользователей
Вы поддерживаете существующее приложение с установленной базой пользователей. Со временем было решено, что текущая техника хеширования паролей устарела и нуждается в обновлении. Кроме того, по причинам UX, вы не хотите, чтобы существующие пользователи были вынуждены обновить свой пароль. Все обновление хэширования паролей должно происходить за экраном. Предположим «упрощенную» модель базы …

6
Ввод пароля в вызове REST API
Предположим, у меня есть REST API, который также используется для установки / сброса паролей. Давайте также предположим, что это работает через соединения HTTPS. Есть ли веская причина не вводить этот пароль в путь вызова, скажем, я закодирую его в BASE64? Примером может быть сброс пароля таким образом: http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD Я понимаю, …
31 rest  passwords 

5
Как реализовать безопасную историю паролей
Пароли не следует хранить в виде простого текста по очевидным причинам безопасности: вам нужно хранить хэши, а также тщательно генерировать хэши, чтобы избежать атак радужных таблиц. Однако обычно у вас есть требование хранить последние n паролей и обеспечивать минимальную сложность и минимальное изменение между различными паролями (чтобы пользователь не мог …

7
Цитаты о невидимости глобально уникального пароля
У меня возникли разногласия с кем-то (клиентом) относительно процесса идентификации / аутентификации пользователя для системы. Суть в том, что они хотят, чтобы у каждого пользователя был глобально уникальный пароль (т.е. два пользователя не могут иметь одинаковый пароль). Я привел все очевидные аргументы против этого (это уязвимость безопасности, она путает идентификацию …

9
Достаточно ли 'if password == XXXXXXX' для минимальной безопасности?
Если я создаю логин для приложения со средним или низким уровнем безопасности (другими словами, это не банковское приложение или что-то еще), могу ли я подтвердить пароль, введенный пользователем, просто сказав что-то вроде: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); Кажется, легко быть эффективным, но я, конечно, не возражал бы, если бы …

5
«Забыли пароль» - как с этим справиться?
Я прочитал этот ответ и нашел комментарий, настаивающий не отправлять пароль по электронной почте: пароли не могут быть восстановлены по электронной почте, я ненавижу это. Это означает, что мой пароль где-то хранится в виде обычного текста. он должен быть сброшен только. Это поднимает меня вопрос обработки опции Забыли пароль? Любой …

1
Существует ли официальный стандарт в отношении методов хранения паролей пользователей?
Недавно я использовал государственную службу, на которую у меня был аккаунт много лет назад. Я не мог вспомнить свой пароль для службы, поэтому я использовал ссылку «забыл пароль» и был удивлен, увидев, что этот правительственный веб-сайт отправил мой пароль на мой адрес электронной почты в виде простого текста. Я лично …

6
Как заверить пользователей, что сайт и пароли в безопасности [закрыто]
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 4 года назад . На надежных веб-сайтах я всегда вижу такие утверждения, как «Все данные зашифрованы» или …

4
Как я могу оценить энтропию пароля?
Прочитав различные ресурсы о надежности пароля, я пытаюсь создать алгоритм, который обеспечит приблизительную оценку степени энтропии пароля. Я пытаюсь создать алгоритм как можно более полным. На данный момент у меня есть только псевдокод, но алгоритм охватывает следующее: длина пароля повторяющиеся символы шаблоны (логические) различные символьные пространства (LC, UC, Numeric, Special, …

8
Наказание пользователей за небезопасные пароли [закрыто]
В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и, возможно, вновь открыть, обратитесь за …

5
Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль?
Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль? Разве два пароля не будут совершенно разными, поскольку один хешируется и не может быть восстановлен?

1
Во время создания учетной записи, лучше ли автоматически генерировать пароль и отправлять его пользователю или позволить пользователю создать свой собственный пароль?
Этот вопрос возник сегодня, когда мы обсуждали с коллегой страницу «Создать учетную запись» для веб-сайта, над которым мы работаем. Мое коллега считает, что мы должны сделать регистрацию максимально быстрой и беспроблемной, поэтому мы должны просто попросить пользователя отправить его электронное письмо и позаботиться обо всем остальном. Я согласен с намерением, …

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.