二つのセキュリティキーを少しずつずらしながら?

Question

私の実施ログイン情報を記憶させる"と特徴のため、ユーザのログインに。最も助言しているユーザidに保存されたcookieは、その後も長く、unguessableランダムます。である場合この試合、ユーザーは認証される。

な二つの文字列実すか？ななキーな同じこんなことをしたのだろう。

つまり、いつも受けやすく攻撃の一つとして以ーション-キーとは何ですか。(Iが想像することになる全長の鍵を問わず、どのくらい)

注意： あDBクエリの効率の問題についても、例えば、大きなUUIDのDBど簡単ではありませ見上げます。（接線、Gmailを使六桁の数字としての一時ログインのトークンのユーザ名です。)

Answer 1

堅牢な議論すること そのスレッド.

...ユーザは認証される。

その読み認証が限定authoriziation.

たコメント:ややより安全かつ時間利用できるようですね。ここでは、クッキーが被害を受ける一方、攻撃者は、法律またはトークンを無効となりますの正当なユーザー logingには、ユーザidに変わらないかもしれない。

Answer 2

私は暗号専門家だが、限り、あなたはブルート強制的に試みをチェックするように、あなたは（Gmailの6桁の数字のような）短いキーを使用することができるはずです。本当の脆弱性は、人々が聞いているとき（例えばサイドジャッキング）。

ユーザがログインします

Answer 3

は、サイトでは、私は、以前私がuser_idとユーザーのパスワードの塩漬けハッシュを利用した作成しました。それは私に別のテーブルを追加する手間保存されたので、私は、ユーザーを認証するために2つのフィールドが使用される主な理由は、（したがって、データベース設計を複雑にする。）また、クッキーに保存されているuser_idで私はユーザーがインデックス付きのルックアップを行うことができます効率的にテーブルとは、ユーザーに塩漬けハッシュと一致します。もちろん、あなたが一つの値にUSER_IDとハッシュの両方を連結でき、ちょうどクッキーにそれを保存します。

あなただけのランダムな推測できない文字列を持っている場合は、ユーザIDとランダムな文字列を関連付け、その特定のユーザのための別のルックアップを行うための別のテーブルを持っている必要があります。