Autenticazione senza salvare la password

Naviga le tue risposte
1

Ci sono problemi di sicurezza con il seguente protocollo di autenticazione?

quando l'utente crea il suo account, lei fornisce il suo nome utente e password. Conservo il nome utente e blowfishEncrypt (toEncrypt = username, key = password) (consente di chiamarlo token)

e quindi quando l'utente vuole accedere, io semplicemente creo nuovamente token (ha bisogno di fornire nome utente e password) e confronta i due.

L'idea è di non avere password memorizzate nel database. Ma credo che sto facendo affidamento sul fatto che se conosco il valore originale e crittografato, non sono in grado di ottenere la password.

C'è qualcosa di chiaramente sbagliato in questo approccio?

    
posta user19689 13.12.2012 - 13:19
fonte

2 risposte

8

Il problema è che l'operazione di crittografia è piuttosto efficiente e quindi le password possono essere efficientemente rinforzate. È meglio usare gli standard esistenti che fanno esattamente quello che stai descrivendo, ma in un modo sicuro (e spesso già implementato), come in link

    
risposta data 13.12.2012 - 13:54
fonte
0

Si chiama "sale" ed è stato introdotto negli anni '80 circa per la crittografia Unix. È meglio usare i protocolli di crittografia esistenti. Gli errori sono facili da compilare e un controllo molto complicato.

    
risposta data 14.12.2012 - 13:50
fonte

Leggi altre domande sui tag

Come eseguire in modo sicuro PHP da un database Mysql [chiuso] Come sostituire un identificatore costante, per una risorsa su una rete, con uno variabile?