Password in un file o separate?

Naviga le tue risposte
2

Ho un programma che blocca alcune password e le salva in file .txt, non sto usando database per l'archiviazione.

Le mie domande sono, è considerato più sicuro per salvare le password con hash in un file o per renderle separate?

Esempio 1

admin.txt - password hash

user1.txt - hashed password

Esempio 2

Passwords.txt = admin hashed password su righe separate

È uno più sicuro dell'altro? L'unico problema con il secondo esempio è come determineresti la cui password appartiene a chi.

Credo che a mio avviso sceglierei il primo esempio perché in questo modo puoi anche confrontare i nomi utente inseriti in modo che un utente malintenzionato non possa semplicemente inviare spam al pulsante con password potenziali.

    
posta Danny Watson 02.01.2017 - 23:06
fonte

3 risposte

2

Sono d'accordo con le altre risposte che dal punto di vista della sicurezza non importa quale metodo usi. Vorrei rispondere a una delle tue altre domande per assicurarci di essere sulla stessa pagina:

The only issue with the second example is how would you determine whose password belongs to who.

Se utilizzi il metodo a singolo file, puoi fare qualcosa di simile a questo: 

username|salt|hashed-password
username2|different-salt|another-hashed-password
...

Nota che se hai molti utenti (ad esempio più di 100K) potresti iniziare a riscontrare problemi di prestazioni con entrambi i metodi che hai descritto e un database sarebbe probabilmente il modo migliore per andare.

    
risposta data 03.01.2017 - 06:29
fonte
5

Fai ciò che risulta in un codice meno / più semplice.

Dal punto di vista del modello di minaccia, se un utente malintenzionato può accedere a un file, può accedere all'altro. Sei molto più probabilità di imbattersi in problemi con difetti logici nel codice, quindi mantieni il codice semplice e breve. Scegli quale delle due scelte ti offre più semplicità.

Inoltre, assicurati di aver compreso correttamente l'hashing della password e segui le buone pratiche .

    
risposta data 02.01.2017 - 23:48
fonte
0

Penso che non ci sia un metodo migliore di altri per il tuo caso ... in uno scenario standard (tutti gli utenti e le password con hash sulla stessa tabella in un database), quindi lo stesso rischio, se acceduto, sono tutti aggiunti .

Se hai un difetto nella tua rete che causa un qualche tipo di accesso a un file, probabilmente è dovuto all'esecuzione dei comandi, quindi tutti i file saranno accessibili.

Quindi secondo me puoi farlo da solo.

    
risposta data 02.01.2017 - 23:39
fonte

Leggi altre domande sui tag

Il certificato X.509 si rinnova rispetto a rekey Quali sono i problemi di sicurezza per la generazione di una chiave privata RSA con dimensione di 3 bit? [chiuso]