È sicuro impostare il valore predefinito per il campo della password?

2

Sto guardando un'applicazione in cui gli amministratori possono "invitare" gli utenti via e-mail e gli utenti invitati. Gli utenti invitati ricevono quindi un URL univoco e vengono inseriti in un database MySQL con stato in attesa e un token di attivazione.

Tuttavia, l'applicazione ha un bug al momento, in cui il DB è stato impostato con il campo della password NOT NULL e senza valore predefinito, il che rende errori INSERT.

Se modifico la struttura della tabella e imposto un valore predefinito per la password (utilizzando un valore crittografato arbitrario), gli amministratori possono aggiungere nuovi utenti e questi utenti sono invitati a impostare una password prima del primo accesso.

La mia domanda è: esiste un rischio per la sicurezza di cui dovrei essere a conoscenza?

Copiato: È sicuro impostare il valore predefinito per il campo della password ? - DBA StackExchage

    
posta Foreever 14.07.2015 - 17:38
fonte

1 risposta

2

Se la tua funzione di hashing è abbastanza sicura, questo non dovrebbe essere un problema, anche se un utente malintenzionato conosce il valore predefinito che non può trovare in un tempo ragionevole un hashing della password nel valore predefinito.

Qualunque cosa che non sia il risultato della tua funzione di hashing è un buon valore predefinito (penso ancora che dovresti usare un valore casuale e non il tuo primo nome di animale domestico, ma entrambi sono ok).

    
risposta data 15.07.2015 - 10:34
fonte

Leggi altre domande sui tag