come utilizzare le password hash per recuperare le chiavi dal keystore o dal database di accesso

1

Come faccio a cancellare la password per un keystore? Come faccio quindi a utilizzare l'hash per recuperare qualcosa dal keystore? Allo stesso modo, come posso usare una password con hash per accedere al database?

Ho crittografato la password e memorizzato la chiave in un keystore e capisco che questo non è un buon design e una soluzione migliore è quella di archiviare la password in modo hash e quindi usarla.

Non sei sicuro di come sia utile dopo il suo hash, cioè come confrontare e consentire l'accesso autenticato?

    
posta bliss 28.04.2014 - 14:32
fonte

1 risposta

1

Non lo fai. L'intero punto dell'hashing è rendere l'originale difficile (si spera molto difficile) o impossibile da recuperare. L'hashing viene utilizzato per l'archiviazione delle credenziali che verranno verificate da un server. Il server ottiene la password in testo semplice (tramite una connessione crittografata) e poi la blocca per vedere se corrisponde alla password hash che ha registrato per l'utente, in questo modo, se il server è compromesso, l'intero database delle password è non immediatamente disponibile per l'aggressore.

Cose come le password e le password di DB per accedere ad altri servizi dovrebbero essere archiviate in modo crittografato, ma senza fruscii. In alternativa e preferibilmente, ai servizi potrebbe essere richiesto un token di autorizzazione (come il funzionamento di oAuth o di molte altre API) che consentirebbe a un determinato cliente di accedere a quell'account, ma non consentire l'accesso generale all'account.

    
risposta data 28.04.2014 - 15:42
fonte