Lavoro su un sito Web di salute e sicurezza che offre un corso online con certificazione. Recentemente abbiamo rafforzato la sicurezza tramite le password di amministratore di hashing.
La domanda riguarda l'accesso dell'utente al corso. Attualmente un amministratore attiverà il serial di uno studente nominando un nome utente. Danno poi questo allo studente che è responsabile per l'impostazione della propria password che è anche hash.
Il problema riguarda le password utente hashing, ci vuole molto più tempo per gli studenti per attivare i periodici e accedere / completare il corso. In precedenza, l'amministratore attivava un serial studente per loro con una scelta di nome utente. Il sistema genererebbe automaticamente una password unica di ca. 12 caratteri che sono stati memorizzati in testo normale. Ciò significava che l'amministratore poteva attivare una serie di accessi per dire 12 studenti alla volta e stampare / rilasciare un PDF con il loro accesso completo. Questo sistema era molto più facile da comprendere per tutti, ma ovviamente l'amministratore poteva vedere le loro password.
Quello che mi sto chiedendo, c'è una distinzione nelle cerchie di sicurezza tra password e un codice / pin di accesso. Dire solo una serie di 3 ingressi / selezionare i menu che accettano valori 1-10 per l'accesso utente invece della password. Quindi il pin semplificato potrebbe essere memorizzato / stampato in testo normale, a condizione che sia solo temporaneo e verrà cancellato non appena il corso sarà completato?
L'idea è se è solo un pin di 3 cifre, quindi anche se è conservata in formato testo non è di alcuna utilità per un hacker, perché non sarà accettata come password su nessun altro sito web tipico. Inoltre, solo 2 tentativi potrebbero essere autorizzati ad accedere prima del blocco per evitare attacchi di forza bruta. L'utente può aver bisogno del pin di accesso per un massimo di un'ora mentre completano il corso prima che venga cancellato dal database. C'è un modo sicuro per tornare a un nome utente più semplice + login basato su pin per l'accesso e-learner temporaneo?