Memorizzazione della password da utilizzare in seguito

0

Ho un sistema di distribuzione con un'interfaccia utente accessibile su Internet. Voglio renderlo più sicuro re rotolando periodicamente la password sull'API. C'è un modo sicuro in cui posso memorizzare la password localmente sul mio computer? Sono preoccupato per una persona brutale che impone la password all'interfaccia disponibile pubblicamente.

    
posta dkimot 20.02.2018 - 22:29
fonte

2 risposte

0

Se sei lo sviluppatore del sistema, è un modello insicuro. La password deve essere salata e sottoposta a hashing sul lato client, quindi eseguire nuovamente l'hashing con un nonce fornito dal server e quell'hash ha controllato sul server. La macchina client dovrebbe anche essere controllata prima di controllare la password. Se l'IP non è statico, può essere fatto con i certificati.

La password inserita dall'utente non deve essere usata come qualcosa di diverso da una password, non come una chiave (usa un KDF), non come una variabile d'ambiente, né memorizzata più a lungo di quanto impieghi per cancellarla. Altri segreti dovrebbero essere derivati in modo irreversibile da esso e da altri valori.

Se non sei lo sviluppatore e sei stato forzato in questo modello da un'applicazione, sembra che tu stia cercando un gestore di password di archiviazione locale come LastPass.

    
risposta data 21.02.2018 - 06:36
fonte
3

Bene - stai chiedendo dei problemi qui con la tua configurazione attuale. Perché hai un'interfaccia di distribuzione esposta al Web?

Devi aggiungere

  1. Autorizzazione IP o host internamente e connessione sicura in rete
  2. 2FA utilizzando un autenticatore - In questi giorni è in corso l'invio di SMS
  3. Salva l'hash salato e non la password
  4. Usa PBKDF2 o bCrypt per l'hashing. Cerca i numeri di iterazioni suggeriti e la loro implementazione
risposta data 20.02.2018 - 23:26
fonte

Leggi altre domande sui tag