So che dovrei crittografare la password ogni volta che salvo le password per sicurezza.
Ma non so come posso crittografare la password che quando salvi per l'autologin.
Se la password era solo per il controllo dell'utente, posso crittografare le password con la crittografia unidirezionale come pbkdf2. Ma la password dovrebbe essere protetta e dovrei accedervi quando il programma è iniziato. Come posso salvare in modo sicuro & usare le password?
But I don't know how should I encrypt password that when I save for autologin.
L'autologin non si basa sulla password utilizzata in un accesso manuale. Esiste una credenziale separata (basata su informazioni identificative e non identificative) generata dopo un accesso riuscito e tale credenziale viene memorizzata sul client in un cookie crittografato o meccanismo di archiviazione simile. Maggiori dettagli su questo approccio sono disponibili in questo articolo
I know I should encrypt the password whenever I save passwords for security.
L'uso di "encrypt" qui è pericoloso, le implementazioni di crittografia sono generalmente bidirezionali. Le password dovrebbero essere "hashed", un meccanismo unidirezionale che non fornisce alcun modo banale per visualizzare l'input originale.
Si noti che praticamente tutti gli schemi di autenticazione personalizzati sono progettati in modo non sicuro, non costruirlo se non è necessario:
Cablaggio come risposta che supera il limite dei commenti.
Devi seguire il protocollo HTTP. salvare la password con una soluzione homegrown è intrinsecamente insicuro. Anche se non si ha accesso al server, si ha accesso all'endpoint HTTP? Effettua un accesso normale, vedi quale cookie è impostato. Dovrebbe avere la sessione. Il che significa che puoi fare lo stesso sul client. Salvare la sessione è quello che sto ottenendo.
Se non è HTTP o anche se lo è, devi solo usare un portachiavi del sistema operativo per salvare la password.
Mac - link
Windows: link e relativa domanda SO link
In questo caso, si lascia che la sicurezza del sistema operativo gestisca la protezione dell'account utente e non si tenti di reinventare la ruota. La domanda che dovresti porci è quindi come implementare le migliori pratiche del sistema operativo di salvataggio delle impostazioni utente, che è più facile e parte della maggior parte delle librerie con cui lavorerai.
Ti suggerisco di esaminare Lastpass. Dà i benefici dell'autologin e tutta la decodifica è fatta nel tuo computer quindi anche se vengono hackerati (cosa che fanno) il perp ottiene solo spazzatura inutilizzabile. Non una singola password è stata compromessa anche se in quel momento hanno ottenuto l'intero database.
E non dovevo diventare uno specialista di crittografia; Ho appena visto i risultati di uno sforzo concertato per romperlo. È sopravvissuto intatto.
Un altro vantaggio di usarlo è che può generare automaticamente password non gestibili e uniche per ogni sito.
Molto facile da usare e abbastanza sicuro come si può ottenere con le password.
E la parte migliore è che funziona su computer, tablet, smartphone, ovunque. Posso accedere a computer non protetti come nella biblioteca, se lo voglio anche io.
Semplicemente funziona.
link "L'ultima password di cui avrai mai bisogno"
Non potrei essere più felice con esso.
Leggi altre domande sui tag encryption passwords cookies