Se un "codice segreto di accesso" utilizza la stessa sicurezza di una normale password? [chiuso]

Naviga le tue risposte
0

Ovviamente, quando si memorizza una password, è necessario utilizzare qualcosa di simile a bcrypt prima di memorizzarlo nel database.

Ma ho un cliente che vuole aggiungere la possibilità di aggiungere un "codice segreto" a ogni voce del database che un utente dovrà inserire prima di accedere a quella voce.

La "chiave segreta" non è esattamente critica come una password, quindi dovrei crittografare questo codice segreto o addirittura ne avrà bisogno?

    
posta Muhambi 25.02.2015 - 03:31
fonte

2 risposte

6

Sembra che il tuo cliente desideri utilizzare questi "codici segreti" come uno schema di autorizzazione a grana fine: solo le persone autorizzate ad accedere a tali voci dovrebbero conoscere il codice segreto corrispondente.

Se questo è il caso, allora quei codici segreti hanno uno scopo simile alle password e dovrebbero essere soggetti agli stessi standard di sicurezza.

    
risposta data 25.02.2015 - 08:28
fonte
1

Dipende. Qual è il vantaggio di non utilizzare la crittografia?

  1. In alcune circostanze, può essere più economico implementare e eseguire il debug.
  2. Più facile per gli amministratori e altri per capire una password / codice di accesso segreto.

Quali sono gli svantaggi di non utilizzare la crittografia?

  1. Potenziale responsabilità legale, a seconda del contesto.
  2. Più facile per gli amministratori e altri per capire una password / codice di accesso segreto.

A meno che non si tratti di un ambiente in cui la sicurezza deve essere debole e più utenti devono avere accesso alle reciproche password (questi ambienti esistono), penso che l'uso della crittografia sia chiaramente l'opzione migliore.

    
risposta data 25.02.2015 - 08:38
fonte

Leggi altre domande sui tag

Rilevamento e gestione di linguaggio osceno nell'input dell'utente È una cattiva forma usare lo stesso nome di variabile in diversi ambiti?