Al momento sto sviluppando il mio CMS per monitorare diversi tipi di server di giochi. Quindi come parte di ciò ho davvero bisogno di un sistema di login. Quindi mi piacerebbe che tu rispondessi a due domande. Prima di tutto il mio metodo:
password = request.form.get("password)
dbdata = db_user.query.filter(db_user.email == email).first()
shapw = haslib.sha512(b""+password).hexdigest()
if dbdata:
salt = dbdata.salt
encrypted_password = bcrypt.hashpw(shapw.encode("utf-8"), salt.encode("utf-8"))
else:
salt = bcrypt.gensalt()
encrypted_password = bcrypt.hashpw(shapw.encode("utf-8"), salt.encode("utf-8"))
if dbdata and dbtata.password == encrypted_password:
''''Set Sessioncookie with random Key
store this key in DB and redirect to home page''''
Ora le mie domande:
-
Questo metodo di hashing è ok? O meglio usa il metodo bcrypt sale automatico
-
Questo metodo è sicuro per gli attacchi time-time?
Modifica
Dopo aver letto altre cose come il foglio di archiviazione delle password OWASP ho cambiato il mio metodo di hashing. Ma una domanda rimane ancora:
Pensi che questo metodo sia efficace per prevenire attacchi con password basati sul tempo?