Server di verifica password

1

Ho postato una domanda qui ...

Protezione degli hash delle password con le stored procedure

... dove ho chiesto di negare l'accesso CRUD dell'utente al database di un sito Web alle tabelle che memorizzano gli hash delle password tranne che attraverso stored procedure che controllano solo l'uguaglianza e non restituiscono gli hash. Ciò sembrerebbe rendere impossibile il dumping degli hash tramite SQL injection.

L'utente che ha pubblicato la risposta che ho accettato, tuttavia, ha menzionato un "server di verifica delle password dedicato". Ho provato a trovare più informazioni su questo, ma non ho potuto ...

Quali sono alcune soluzioni server di verifica password dedicate per ASP.NET e quali aziende le utilizzano? Qualcuno può indicarmi alcune informazioni su come funzionano?

    
posta John 15.05.2013 - 16:55
fonte

1 risposta

1

Probabilmente fa riferimento a un Hardware Security Module (HSM) , che è un dispositivo hardware dedicato per un solo scopo progettato per archiviare segreti in un modo che protegge i dati anche se un utente malintenzionato ha accesso fisico illimitato al dispositivo.

L'idea di questi dispositivi è che i dati vengono passati, crittografati o cancellati, quindi archiviati in un dispositivo di archiviazione sicuro. Quando si desidera verificare un valore, si passano i dati ad esso e si esegue il controllo per voi. In questo modo non rivela affatto i dati: controlla solo la password per te.

    
risposta data 15.05.2013 - 17:20
fonte

Leggi altre domande sui tag