English 中文(简体)
在 co中挽救已破灭的密码是否确实危险?
原标题:Is it really dangerous to save hashed password in cookies?

很多与会者讨论了在厨师使用用户计算机时使用 has带密码的安全风险,一名黑客可使用所节省的密码。 如果一名黑客能够使用用户的计算机,他可以浏览密码,因为浏览器也在当地节省密码(当然是加密)。 co语与浏览器所节省的密码有何区别?

出于明显的原因,应当派遣一个临时的GUID,而不是密码。 无论如何,我认为,限制接触拖拉机的IP,可能会使袭击者接近使用当地节省的古董会。 当然,这将限制滞后时间,因为国际知识产权通常具有动态和定期变化;但我认为这值得注意。 任何想法?

最佳回答

我认为,你为什么想在 co子中储存一个 ha的口号,这就是建立一个“我”的 co。 因此,你们需要的是秘密的厨师的价值,这样就不会有人会轻易猜测。 任何可以获得这一价值的人都可以作为这一用户登录,因此实际上是一种“前密码”。

这里涉及两种风险:

最重要的是暴露密码的风险。 这不仅会危及你的场地,而且有可能危及其他场所。 大多数用户都重新使用其密码,密码可能会让用户进入电子邮件账户和净额银行。 有些人可以获得shed升值,可能使用 br或雨表来发现最初的密码(留级表是预估的 has长清单)。 彩虹表格很容易用于超过8个特点的密码,甚至更长时间。 您可以避免这种情况,将口号加盐,这样,在你创建 has之前,它就具有20多个特性(也有责任在 co中储存盐)。 以安全洗衣算法计算出的经过适当加盐的密码,应当相当安全。

另一种风险是,用户必须改变其原来的密码,使破损的密码失效。 用户一旦改变这一特点,便不可能实际放弃。 如果 co子不 ",你可以删除 co子,但如果 co子已经受损,则不会产生影响。 如果他的计算机被偷,那么什么? 如果用户用一台电脑核对了该纽子,他就必须能够使用该计算机来解脱这一特征。

问题回答

是的,在一个 co子里使用 ha语不太安全。 <is>在浏览器中加以节约和通过电线发送之间存在差异:除非你重复使用SSL,否则,攻击者就不必从请求中看到机器。

It s much safer to send a random value, as then there s no tie to the user s actual password: it s possible to expire a session by forgetting the random value, without having to get the user to change their password. Also if the attacker does get the hashed value out of the cookie, it may be possible for them to recover the actual password if that s what s sent.

as upon accessing to the user s computer, a hacker can log in with the saved password. If a hacker has access to the user s computer, he can catch the password, as browsers also save passwords locally (encrypted of course).

不知道你在这里指的是什么。 如果您请电传学会记住你对某个网站的密码,有人对你的电脑有密码,并且可以使用你的电传,他可以使用你的密码。 但这与洗衣或厨师等无关。

首先,无法检索破旧的密码。 因此,如果有人听从你的密码,他不知道你的密码。

当你对一个要求密码的站点作记录时,你提供密码。 标准做法是将用户密码作为斜体而不是密码本身储存起来。 因此,你将密码和接收服务器与储存的密码相比较。

Now related to your question on sending the hashed password inside a cookie, this is related to session management. I.e. to determine whether a user has already succesully loggedin or not.
IMHO using just the hashed-password as a way to determine if the user has already logged-in when using plain HTTP is not a good idea.

But if this what you ask, it is another topic.
I.e. how to best do session management over HTTP connections

何时请用户重新进入密码:

  1. When they try to change their password.
  2. When they try to change their email address.
  3. When they try to change their security information (anything that can be used to recover their password, including username, email address, security question, etc.).
  4. When they try to access highly secure account information and have not entered their password for more than 15 minutes or so (if all information is highly secure, you should flat out log them out for inactivity instead). Amazon does this a lot.

Saving a hashed password makes this less effective.

除此以外,你本应当使用安全(在吉大港山区上空的拖网)的厨师,HttpOnly(无法通过javascript获得)来保护免受特别安全局的攻击。 当然,如果有人把人机器完全 ha,他们就只安装了钥匙博客。





相关问题
ajax login using httpRequest?

I am trying to develop my login script to give feedback to the user if the login is valid or not. Basically if it isn t correct a div box will show saying its wrong, if its correct it will show its ...

Remotely authenticating client Windows user on demand

Suppose I am writing a server for a particular network protocol. If I know that the client is running on a Windows machine, is it possible for my server to authenticate the Windows user that owns the ...

Role/Permission based forms authorizing/authentication?

While looking into forms authorizing/authentication, I found that it is possible to do role based authorizing by adding an array of roles to a FormsAuthenticationTicket. That way I can write User....

热门标签