Sicurezza su Login quali sono le migliori pratiche [duplicato]

Naviga le tue risposte
1

Ovunque ho guardato i dati di accesso e come gestirli, o le esercitazioni mi stanno semplicemente facendo comparare al testo normale.

So di non memorizzare mai una password in testo semplice nel database.
Sto solo chiedendo se c'è materiale che posso leggere o guardare che ha un modo standardizzato generale di memorizzare la password a livello semi-commerciale.
Sto chiedendo a causa della creazione di un'applicazione e desidero avere buone pratiche di sicurezza fin dall'inizio, in modo da migliorarle ulteriormente nella mia vita IT.
Cose che sto assumendo

  1. Cripta la password e memorizzala
  2. Al momento dell'accesso, codifica la password e confronta i due.

Voglio solo approfondire le mie conoscenze per un sistema di login di livello più commerciale, invece di conoscere gli accessi in testo normale. Qualsiasi fonte sarebbe molto apprezzata.

    
posta Vaughan D 23.03.2017 - 01:38
fonte

1 risposta

1

Questa è un'ottima lettura: link

In generale, di solito vuoi archiviare le tue password come "hash salato". Quindi accetti la loro password, eseguila attraverso la tua funzione di hash (io uso bcrypt) e la confronto.

Anche un altro piccolo dettaglio da notare che alcune persone non pensano sono i messaggi che stai restituendo ai tuoi utenti. Ad esempio: se qualcuno invia le credenziali {user1, mypassword} e una di queste credenziali non è corretta, è necessario restituire "combinazione utente / password non valida" invece di dare un messaggio specifico come "password errata" che rivelerebbe che stanno tentando contro un account esistente. Non fornire mai più informazioni del necessario.

Questa domanda sarà anche utile: Come password di hash sicure?

    
risposta data 23.03.2017 - 01:51
fonte

Leggi altre domande sui tag

Cosa cercano di fare queste richieste API sconosciute? Come posso isolare i file eseguibili sospetti senza eliminarli?