Вопросы с тегом «passwords»

Пароль - это секретное слово или строка символов, которые используются для аутентификации, подтверждения личности или получения доступа к ресурсу.

78
Почему пароли должны быть зашифрованы, если они хранятся в защищенной базе данных?

У меня есть веб-сервис. Прямо сейчас у меня на сервере хранятся пароли в виде простого текста в таблице MySQL . Я знаю, что это не лучшая практика, и именно поэтому я работаю над этим. Почему пароли должны быть зашифрованы, если они хранятся в защищенной базе данных? Я понимаю, что если кто-то...

39
Существуют ли веские причины для запрета символов и ограничения длины паролей?

Я встречал довольно много сайтов, которые либо ограничивают длину паролей и / или запрещают определенные символы. Это ограничивает меня, так как я хочу расширить и увеличить пространство поиска моего пароля. Это также дает мне неприятное ощущение, что они могут не хэшироваться. Есть ли веские...

34
Что если клиенту нужна возможность восстановить пароли?

В настоящее время я унаследовал приложение на работе и, к своему ужасу, понял, что пароли пользователей, хранящиеся в базе данных, зашифрованы с использованием внутренней функции шифрования, которая также включает в себя возможность дешифрования. Поэтому все, что кому-то действительно нужно...

32
Обновление хэширования пароля без принудительного ввода нового пароля для существующих пользователей

Вы поддерживаете существующее приложение с установленной базой пользователей. Со временем было решено, что текущая техника хеширования паролей устарела и нуждается в обновлении. Кроме того, по причинам UX, вы не хотите, чтобы существующие пользователи были вынуждены обновить свой пароль. Все...

31
Ввод пароля в вызове REST API

Предположим, у меня есть REST API, который также используется для установки / сброса паролей. Давайте также предположим, что это работает через соединения HTTPS. Есть ли веская причина не вводить этот пароль в путь вызова, скажем, я закодирую его в BASE64? Примером может быть сброс пароля таким...

23
Как реализовать безопасную историю паролей

Пароли не следует хранить в виде простого текста по очевидным причинам безопасности: вам нужно хранить хэши, а также тщательно генерировать хэши, чтобы избежать атак радужных таблиц. Однако обычно у вас есть требование хранить последние n паролей и обеспечивать минимальную сложность и минимальное...

20
Цитаты о невидимости глобально уникального пароля

У меня возникли разногласия с кем-то (клиентом) относительно процесса идентификации / аутентификации пользователя для системы. Суть в том, что они хотят, чтобы у каждого пользователя был глобально уникальный пароль (т.е. два пользователя не могут иметь одинаковый пароль). Я привел все очевидные...

20
Достаточно ли 'if password == XXXXXXX' для минимальной безопасности?

Если я создаю логин для приложения со средним или низким уровнем безопасности (другими словами, это не банковское приложение или что-то еще), могу ли я подтвердить пароль, введенный пользователем, просто сказав что-то вроде: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else...

18
«Забыли пароль» - как с этим справиться?

Я прочитал этот ответ и нашел комментарий, настаивающий не отправлять пароль по электронной почте: пароли не могут быть восстановлены по электронной почте, я ненавижу это. Это означает, что мой пароль где-то хранится в виде обычного текста. он должен быть сброшен только. Это поднимает меня вопрос...

17
Существует ли официальный стандарт в отношении методов хранения паролей пользователей?

Недавно я использовал государственную службу, на которую у меня был аккаунт много лет назад. Я не мог вспомнить свой пароль для службы, поэтому я использовал ссылку «забыл пароль» и был удивлен, увидев, что этот правительственный веб-сайт отправил мой пароль на мой адрес электронной почты в виде...

15
Как заверить пользователей, что сайт и пароли в безопасности [закрыто]

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 4 года назад . На надежных веб-сайтах я всегда вижу такие утверждения, как «Все данные...

14
Как я могу оценить энтропию пароля?

Прочитав различные ресурсы о надежности пароля, я пытаюсь создать алгоритм, который обеспечит приблизительную оценку степени энтропии пароля. Я пытаюсь создать алгоритм как можно более полным. На данный момент у меня есть только псевдокод, но алгоритм охватывает следующее: длина пароля...

13
Наказание пользователей за небезопасные пароли [закрыто]

В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и,...

11
Хранение паролей для использования в скриптах

Есть несколько ситуаций, когда пользователям необходимо вводить свой пароль при автоматизации всего процесса разработки. Развертывание сайта - это только одна из распространенных ситуаций. Создание файлов DMG под OS X также требует пароля. Большинство утилит командной строки, используемых в...

11
Во время создания учетной записи, лучше ли автоматически генерировать пароль и отправлять его пользователю или позволить пользователю создать свой собственный пароль?

Этот вопрос возник сегодня, когда мы обсуждали с коллегой страницу «Создать учетную запись» для веб-сайта, над которым мы работаем. Мое коллега считает, что мы должны сделать регистрацию максимально быстрой и беспроблемной, поэтому мы должны просто попросить пользователя отправить его электронное...

11
Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль?

Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль? Разве два пароля не будут совершенно разными, поскольку один хешируется и не может быть...

10
Хеширование пароля и поддержка вашего пользователя

Недавно мы перешли на более качественную стратегию хранения паролей, в которую вошли все хорошие вещи: Пароли сохраняются после прохождения через bCrypt Пользователю отправляется ссылка на активацию при создании аккаунта для подтверждения владения адресом Забыли пароль без секретного вопроса,...

10
Каковы возможные варианты предоставления «пароля администратора» для настольного приложения?

В настоящее время я управляю программным обеспечением, которое используется в моей компании уже более десяти лет, и перефакторинг. Одним из элементов этого приложения является своего рода режим администратора или опытного пользователя, который обеспечивает такие вещи, как некоторый дополнительный /...

10
Что такое разумный и безопасный пароль для регистрации пользователя?

Это политика паролей, которую я только что получил от UPS (только для проверки статуса пакета): Ваш пароль должен быть длиной от 8 до 26 символов. Он должен содержать как минимум три следующих типа символов: строчные буквы, заглавные буквы, цифры, специальные символы или пробелы. Пароль не может...

10
Интеграционные тесты в проектах OSS - как обращаться с третьими лицами с аутентификацией?

Один из моих (с открытым исходным кодом) хобби-проектов - это инструмент резервного копирования, который делает автономные резервные копии репозиториев из GitHub, Bitbucket и т. Д. Он вызывает API хостеров, чтобы получить список репозиториев, а затем использует Git / Mercurial / что угодно для...