Was ist die Alternative zu PasswordDigest wenn Klartext-Passwort auf den Web-Service-Herstellern nicht gespeichert?

Question

Szenario:

Web-Service-Produzenten haben nur SHA-1-Hash-Passwörter in der Datenbank gespeichert. Wir müssen Web-Service-Benutzer mit Benutzername / Passwort-Kombination authentifizieren.

---

Web Services Security Username Profil ermöglicht es uns, Seife Header für diesen Zweck hinzuzufügen:

  

Das Element ist   in der WSS eingeführt: SOAP-Nachricht   Sicherheitsdokumente als eine Möglichkeit,   Bereitstellen eines Benutzernamen ein.

     

Im Element, ein    Element kann   angegeben. Passwörter vom Typ   PasswordText und PasswordDigest sind   nicht auf dem tatsächlichen Passwörter beschränkt,   obwohl dies ein üblicher Fall.    (146-151)

PasswordText Passwort Typ bedeutet, dass das Kennwort über den Draht als Klartext, der ein Sicherheitsproblem ist gesendet wird, wenn wir nicht Mechanismen Transport Level Security verwenden. PasswordDigest vermeidet Passwörter im Klartext sendet und sendet einen Hash. Aber zu vermeiden Replay-Attacke (i-e Angreifer wiretap mit dem Hash-Passwort zu erfassen und senden Sie es mit einer anderen Anfrage) die PasswordDigest fügt einen Zeitstempel und eine Zufallszahl Passwort, bevor die Hash-Berechnung. Dieser Zusatz führt zu folgenden Einschränkung:

  

Beachten Sie, dass PasswordDigest kann nur   wenn das Klartext-Passwort verwendet werden (oder   Passwort-Äquivalent) ist verfügbar   sowohl an den Anforderer und die   Empfänger. (196-197)

---

Aber in unserem Fall haben wir keine Klartext-Passwort. Meine Frage ist: was Stellvertreter haben wir andere haben, dass Passwörter im Klartext auf dem Server verfügbar machen

Answer 1

Der SHA-1 lässt sich perfekt als "Klartext" Passwort verwendet werden.

• Bitten Sie den Benutzer das Passwort
• wandeln es in SHA-1
• führen Sie es die PasswordDigest Sache
Throught
• der Server das gleiche mit der SHA-1 tun in der Datenbank
• der Server feststellen, dass sie Zugang entsprechen und erlauben