Alternativa alla memorizzazione delle password quando si tratta di integrazioni che consentono solo l'autenticazione con nome utente / password? [duplicare]

Naviga le tue risposte
1

Sto lavorando a un'integrazione con un servizio esterno che richiede l'autenticazione per utente, come ad esempio Facebook, ma a differenza di Facebook consente solo l'username e la password per questa autenticazione. Il mio background di base sulla sicurezza è scomodo al pensiero che questo significhi che in realtà ho bisogno di raccogliere le credenziali di accesso dell'utente per il servizio esterno e di memorizzarle senza fruscii.

Esiste una soluzione standard al problema di richiedere password utente in testo semplice?

    
posta TheEnvironmentalist 07.03.2017 - 13:04
fonte

1 risposta

1

È necessario memorizzare le password crittografate con un moderno algoritmo di crittografia simmetrica. Si consiglia AES con una chiave a 256 bit. Assicurati di utilizzare un'implementazione ben nota e verificata di AES. La chiave deve essere archiviata in modo sicuro poiché viene utilizzata per crittografare e decrittografare le password memorizzate.

Inoltre, se il servizio che stai autenticando richiede l'invio di password in chiaro su una rete, assicurati di utilizzare un protocollo TLS sicuro (ad esempio HTTPS).

Se il servizio non supporta le connessioni TLS, tutte le scommesse sono disattivate e dovresti considerare seriamente l'utilità di questo servizio (immagina tutte le altre cose che stanno facendo in modo insicuro. Paghi questo servizio? in che modo memorizzano le informazioni di fatturazione?)

    
risposta data 07.03.2017 - 15:29
fonte

Leggi altre domande sui tag

Perché Oracle afferma che le seguenti vulnerabilità di deserializzazione sono correlate al protocollo HTTP? PMK è ciò che impedisce di generare il PTK e decrittografare il traffico?