Come proteggeresti un file di password in un sito web? L'hashing delle singole password non è sufficiente? Quali altri passaggi devo seguire?
Come richiesto da Steve e Avi, ci si riferisce alle password per gli utenti di un sito Web o di un'applicazione Web o password per il sistema. Protezione tipica per le due opzioni:
Password per l'applicazione web / sito web:
Archiviati in un database separato dal DMZ web da un firewall, non sul server Web (che si trova nella DMZ Web.) Il controllo degli accessi è sia sul firewall che nella crittografia del database o hashing delle password in il database
Password di sistema:
Password hash in / etc / passwd o / etc / shadow o file SAM o equivalente e il file password ha controlli di accesso che limitano l'accesso solo agli account root o di sistema.
Ci sono altre opzioni, ma queste sono di gran lunga le più comuni.
Leggi altre domande sui tag cryptography password-management