ベストを扱う時にユーザーアカウント認証やパスワード
-
09-06-2019 - |
質問
には、どうするのがベストな取扱いをユーザーアカウント管理システム-イノベーションを持った社員へのアクセスデータベースにアクセスします。
例:
保存ユーザ名/パスワードのデータベースです。これは悪いことなので誰でもそのデータベースへのアクセスできるユーザー名とパスワードを発行いたします。として使用します。
保存ユーザ名/パスワードハッシュ.これはより良い方法は口座にアクセスできるのを差し替えパスワードハッシュのデータベースのハッシュの別のアカウントの認証情報です。その後アクセスが許可されると、復帰でのデータベースです。
どんなwindows/*nix対応す。
解決
こうした共通の課題であUNIX多数年前に決定された分離によるユーザーのアイデンティティ部品(ユーザー名、UID、シェルは、ふじみの国際交流センターなど) から認証部品(パスワードハッシュ、パスワードハッシュ塩).のコンポーネントにとどまらず、これまでの読み取(ともなれば、UIDsするマッピングされたユーザ名)が、認証部品 必要 れを利用することができない。ユーザーを認証するため、信頼されるシステムが受け入れのユーザー名とパスワードを返します。簡単結果の"認証"または"認証を受けません".このシステムにアクセスの認証データベース、待機のためのランダムな時間もの間に0.1と3秒前に返信なタイミング攻撃であった。
他のヒント
これはより良い方法は口座にアクセスできるのを差し替えパスワードハッシュのデータベースのハッシュの別のアカウントの認証情報です。
くありませんう。人として書き込みアクセスのパスワードファイルを完全に制御しています。
いて2つのものを使用塩です。一部の擬似コード:
SetPassword(user, password)
salt = RandomString()
hash = Hashfunction(salt+password)
StoreInDatabase(user, salt, hash)
CheckPassword(user, password)
(salt, hash) = GetFromDatabase(user)
if Hashfunction(salt+password) == hash
return "Success"
else
return "Login Failed"
使用することが大切で良く知られるハッシュ機能など、MD5またはSHA-1)を実施した図書室があります。 なロールごみからの書籍 そんなリスクをできるのではないかと考えて間違っています。
@ブライアンR.ボンディ:その理由をご利用の塩は辞書attaksく、攻撃者ができなハッシュ辞書くのステージでパスワードの代わりに、彼女の塩+辞書およびハッシュで、保管requierments expode.また辞書の1000番commaonパスワードハッシュして必要なもののようなもの16kBものを追加した場合、二つのランダムな文字だ62*62*16 kB≈62応募を推奨いたします。
Elseを使用できるか ワンタイムパスワード 聞いた話でもOTPWがhavent使用します。
Jeff Atwoodはいくつかの良い職に関するハッシュに行くことに決める場合はその路線:
を使用できるopenIDに保存しないユーザーの秘密のパスワードです。たらなければならないと言うウェブサイトのみですか?
- 非常に悪いことになります。場合は、データベースでは、すべてのアカウントは低くなります。-
- 良いかかるものと思われます。場合はハッシュアルゴリズムのユーザー名、パスワードのハッシュもできません。
Unix店舗のハッシュ、テキストファイル/etc/shadowであるのみがアクセス権限のユーザーパスワードは暗号化される塩。
きの店 塩 のためのハッシュされたパスワードを別のテーブルはもちろん各ユーザーが自分の塩です。またそこへのアクセスを制限する。
通常のアプローチ用オプションとメール:
店舗のユーザー名、パスワードハッシュおよびメールアドレスのデータベースです。
ユーザーのいずれかの入力パスワードはリセットで、後者の場合はパスワードをランダムに発生する新しいハッシュが作成され、ユーザーのパスワードが送信されたeメールにて
編集:場合は、データベースが危殆化したときにのみ保証のない顕情報にアクセスできなくなり、セキュリティの確保に努めます。
ハッシュ、ユーザー名とパスワード 一緒に.その場合はユーザーが同じパスワードのハッシュにもなければならないと思います。
このビット以外の問題に幅広く用いてデータベースへのアクセスでは、おそらく最も共通の目標であることを攻撃者は任意.だってデータベースへのアクセスな私でいたいログインを利用していますか?:)
の場合は'system'が公開サイト RPX を御提供させていただきログイン/ユーザーアカウントサービスの提供のように、OpenId,Facebook、Google等
現在のやり方ときの策定におうかがいしないといけないのではないかたは'system'が使いになりますが、内部のwindows/linuxベースエンタープライズアプリです。しかし;方googling回ログイン/ユーザーアカウントプロバイダ(なかったので前にしたRPX)ることができるフィット:)