Quão seguras são as senhas authlogic?
https://stackoverflow.com/questions/2025627
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou planejando disponibilizar o banco de dados de um projeto Rails para download publicamente. Este banco de dados contém uma tabela de usuários authlogic, com os campos Crypted_Password e senha_salt. Qual é a segurança essas senhas ... É seguro disponibilizá -las publicamente dessa maneira? Ou devo olhar para a implementação de outro sistema de autenticação, como o OpenID, que não armazena as senhas no banco de dados?
Solução
Definitivamente, não é seguro compartilhar senhas de hash, talvez você deva tentar dividir seu modelo de usuário em algo como o UserProfile (informações públicas do usuário - apelido, localização etc.) e a conta do usuário que você poderia usar para autenticação. Então você provavelmente poderia compartilhar tudo, exceto as contas. Ou talvez considere a implementação de algum tipo de API que outros possam usar para extrair dados do seu site em vez de publicar todo o banco de dados.
Outras dicas
Definitivamente, não é uma boa ideia compartilhar isso, independentemente do nível de segurança e criptografia. Mesmo que estivesse perfeitamente seguro, no mínimo, você estará revelando dados do usuário, o que não parece algo com que seus usuários provavelmente ficarão felizes. E se não estiver perfeitamente seguro (muito mais provável) - suponha, digamos, há uma fraqueza crítica no Authlogic que ainda não foi descoberta?
Melhor prevenir do que remediar. Compartilhe o resto, se quiser, mas mantenha seus usuários e dados relacionados em sigilo!
Eu sugiro que você remova quaisquer campos que envolvam autenticação de usuário (e -mails, senhas, sais e chaves, URLs de identificação aberta) a partir de quaisquer bancos de dados que você planeja compartilhar, caso contrário, poderá se encontrar em um mundo de dor quando alguém malicioso se aproxima dela.
Eu acho que seria aconselhável não incluir a tabela de usuários no banco de dados que você torna público, independentemente do sistema de autenticação que você usa. Uma das vantagens do uso do AuthLogic é que você pode implementar vários meios de autenticação de farfilmente, sem dor. Não importa se você usa registro tradicional, OAuth, OpenID ou RPX, todos esses métodos são capazes de obter informações pessoais fora de uma senha no seu modelo de usuário. Os usuários provavelmente não se sentirão felizes com as informações de DOB/First & Sobrenome/Localização sendo divulgadas.
