Devo impostare gli utenti per l'accesso a subversion e al momento siamo bloccati utilizzando htpasswd
per la nostra archiviazione di credenziali. Se un utente mi invia un record htpasswd
via email (o GChat / off the record?), Qual è il livello di rischio che stiamo subendo?
L'hashing sarebbe stato fatto usando l'algoritmo predefinito htpasswd
: htpasswd -n someuser
E alcuni utenti probabilmente genererebbero i loro hash con questo strumento: link
Quindi, ci sono tre rischi su cui vorrei un parere professionale. Il rischio o la probabilità che ...
- .. htaccesstools e / o la connessione tra i due è compromessa e che l'utente malintenzionato può indovinare in quale modo verranno effettivamente utilizzate le credenziali!
- .. l'IM / email sarà compromessa
- .. se l'hash è noto, che può essere rotto. (Se possiamo supporre che gli utenti scelgano password sicure, quale livello di rischio impone l'hashing predefinito di htpasswd (md5?)?
Ma forse, cosa ancora più importante, un professionista di mentalità orientata alla sicurezza preferirebbe questa via? Oppure sceglierebbe solo le password e comunicherà agli utenti finali le loro password al telefono?