Domanda sulla sicurezza dell'hashing della password

0

Sto per aggiungere alcune funzionalità di account utente e password al mio software, quindi sto leggendo sull'hash delle password.

Quindi la mia comprensione è che Hashing è una funzione a senso unico, e funziona così:

  1. Tipi di utente Bob nella casella password: "MyPassword"
  2. Richiesta inviata al server per Bob's Salt e hash dal database: Hash: 8912ep98as89uasdp Sale: 89asdjklasdo11jdsa
  3. "MyPassword" + Salt viene sottoposto a hash con la stessa funzione e confrontato con hash recuperato
  4. Se corrispondono, l'accesso è garantito.
  5. L'hash è archiviato nella memoria dell'applicazione per confronti futuri.

È esatto? Pertanto, in precedenza, è stata concessa all'utente la possibilità di fare clic sull'applicazione, ma la mia applicazione sta recuperando i dati da un server. Voglio che le cose siano sicure, quindi per ogni richiesta del servizio passo i dettagli dell'autenticazione (hash memorizzato dal punto 5) e il servizio lo confronta con l'hash del database prima di restituire un insieme di dati.

Non si conosce il tipo di hash così male come conoscere la password? Se hai trovato l'hash, potresti usare il servizio per mezzi nefasti perché tutta la password è usata per generare l'hash, e l'hash è usato per tutte le ulteriori autenticazioni.

Modifica, per chiarimenti, questa non è un'app web. Sarà un'applicazione WPF, probabilmente utilizzando il servizio WCF per parlare con un server.

    
posta Joe 07.02.2016 - 12:02
fonte

1 risposta

1

Utilizza un cookie di sessione. Utilizzare un design esistente e comprovato per l'autenticazione di sessione. È probabile che troverai utile lo scambio di sicurezza delle informazioni .

Una delle lezioni chiave della sicurezza del computer è che quando lo inventi da solo, stai creando buchi nella sicurezza. Il trattamento migliore di questo problema è una delle cose fondamentali che differenzia il libro di Bruce Schneier Cryptography Engineering dal libro che sostituisce, Crittografia pratica .

Ulteriori letture:

  1. link
  2. link

Questa domanda inoltre duplica parzialmente Autenticazione, autorizzazione e Gestione delle sessioni in app Web tradizionali e API su stackoverflow.

    
risposta data 07.02.2016 - 12:44
fonte

Leggi altre domande sui tag