Ingegneria software passwords

15

Perché le password dovrebbero essere crittografate se vengono archiviate in un database sicuro?

Ho un servizio web. In questo momento, ho le password memorizzate in testo normale in una tabella MySQL sul mio server. So che questa non è la migliore pratica ed è per questo che ci sto lavorando. Perché le password dovrebbero essere crittografate se vengono archiviate in un database sicuro? …

78 mysql encryption passwords

10

Esistono motivi validi per vietare i caratteri e limitare la lunghezza delle password?

Mi sono imbattuto in parecchi siti che limitano la lunghezza che consentono alle password di essere e / o vietano determinati caratteri. Questo mi limita perché voglio ampliare e allungare lo spazio di ricerca della mia password. Mi dà anche una sensazione spiacevole che potrebbero non avere hash. Ci sono …

39 security passwords

14

Cosa succede se il client ha bisogno della capacità di recuperare le password?

Al momento ho ereditato un'applicazione al lavoro e, con mio grande sgomento, mi sono reso conto che le password dell'utente archiviate nel database sono crittografate utilizzando una funzione di crittografia interna, che include anche la possibilità di decrittografare. Quindi tutto ciò che qualcuno deve veramente fare è copiare la tabella …

34 security client-relations passwords

6

Aggiornamento dell'hash delle password senza forzare una nuova password per gli utenti esistenti

Gestisci un'applicazione esistente con una base di utenti consolidata. Nel tempo si decide che l'attuale tecnica di hashing della password è obsoleta e deve essere aggiornata. Inoltre, per motivi di UX, non vuoi che gli utenti esistenti siano costretti ad aggiornare la loro password. L'intero aggiornamento dell'hash delle password deve …

32 security language-agnostic passwords

6

Inserimento di una password in una chiamata API REST

Supponiamo che io abbia un'API REST utilizzata anche per impostare / ripristinare le password. Supponiamo anche che funzioni su connessioni HTTPS. C'è qualche buon motivo per non inserire quella password nel percorso della chiamata, diciamo anche che lo codificherò in BASE64? Un esempio potrebbe essere quello di ripristinare una password …

31 rest passwords

5

Come implementare una cronologia password sicura

Le password non devono essere archiviate in testo semplice per ovvi motivi di sicurezza: è necessario archiviare gli hash e anche generare l'hash con attenzione per evitare attacchi da tavolo arcobaleno. Tuttavia, in genere è necessario archiviare le ultime n password e imporre la minima complessità e il minimo cambiamento …

23 security passwords

7

Citazioni per l'invisibilità della password univoca a livello globale

Sono in disaccordo con qualcuno (un cliente) sul processo di identificazione / autenticazione dell'utente per un sistema. Il nocciolo di ciò è che vogliono che ogni utente abbia una password univoca a livello globale (cioè che due utenti non possono avere la stessa password). Ho sollevato tutte le ovvie argomentazioni …

20 security passwords

9

Un 'if password == XXXXXXX' è sufficiente per la minima sicurezza?

Se creo un account di accesso per un'app che presenta un rischio di sicurezza medio-basso (in altre parole, non è un'app bancaria o altro), è accettabile per me verificare una password inserita dall'utente semplicemente dicendo qualcosa come: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); Sembra facile essere efficace, ma certamente non …

20 security passwords validation

5

"Password dimenticata" - Come gestirla?

Ho letto questa risposta e ho trovato un commento insistendo per non inviare la password via e-mail: le password non dovrebbero poter essere recuperate via e-mail, lo odio. Significa che la mia password è memorizzata in testo normale da qualche parte. dovrebbe essere ripristinato solo. Questo mi solleva la questione …

18 programming-practices security email passwords

1

Esiste uno standard ufficiale relativo alle pratiche di archiviazione delle password degli utenti?

Recentemente ho usato un servizio governativo di cui avevo un account da anni. Non riuscivo a ricordare la mia password per il servizio, quindi ho usato il link "password dimenticata" e sono rimasto sorpreso nel vedere che questo sito web del governo ha inviato la mia password al mio indirizzo …

17 security standards passwords

6

Come assicurare agli utenti che il sito Web e le password sono protetti [chiuso]

Chiuso . Questa domanda è basata sull'opinione . Al momento non accetta risposte. Vuoi migliorare questa domanda? Aggiorna la domanda in modo che possa essere risolta con fatti e citazioni modificando questo post . Chiuso 4 anni fa . Su siti Web affidabili vedo sempre affermazioni come "Tutti i dati …

15 security ethics encryption passwords hashing

4

Come posso stimare l'entropia di una password?

Dopo aver letto varie risorse sulla sicurezza delle password, sto cercando di creare un algoritmo che fornirà una stima approssimativa di quanta entropia ha una password. Sto cercando di creare un algoritmo il più completo possibile. A questo punto ho solo pseudocodice, ma l'algoritmo copre quanto segue: lunghezza della password …

14 algorithms passwords

8

Punire gli utenti per password non sicure [chiuso]

Allo stato attuale, questa domanda non è adatta al nostro formato di domande e risposte. Ci aspettiamo che le risposte siano supportate da fatti, riferimenti o competenze, ma questa domanda probabilmente solleciterà dibattiti, argomenti, sondaggi o discussioni estese. Se ritieni che questa domanda possa essere migliorata e possibilmente riaperta, visita …

13 security passwords authorization risk permissions

5

Se le password sono memorizzate con l'hash, come fa un computer a sapere che la tua password è simile all'ultima se provi a reimpostare la password?

Se le password sono memorizzate con l'hash, come fa un computer a sapere che la tua password è simile all'ultima se provi a reimpostare la password? Le due password non sarebbero totalmente diverse dal momento che una è sottoposta a hash e non può essere annullata?

11 database security hashing passwords

1

Durante la creazione dell'account, è meglio generare la password automaticamente e inviarla all'utente o consentire all'utente di creare la propria password?

Questa domanda è emersa oggi mentre discutevamo con un collega della pagina "crea account" per il sito Web su cui stiamo lavorando. L'opinione del mio collega è che dovremmo rendere la registrazione il più veloce e semplice possibile, quindi dovremmo semplicemente chiedere all'utente la sua e-mail e prendersi cura di …

11 security passwords

Domande taggate «passwords»