Domande con tag 'passwords'

15
risposte

Perché le password dovrebbero essere crittografate se vengono archiviate in un database sicuro?

Ho un servizio web. Al momento, ho le password memorizzate in testo normale in una tabella MySQL sul mio server. So che questa non è la migliore pratica, ed è per questo che ci sto lavorando. Perché le password dovrebbero essere crittografa...
posta 30.01.2014 - 01:17
10
risposte

Esistono validi motivi per non consentire l'accesso ai caratteri e limitare la lunghezza delle password?

Mi sono imbattuto in parecchi siti che limitano la lunghezza che consentono alle password di essere e / o non consentono determinati caratteri. Questo mi limita perché voglio allargare e allungare lo spazio di ricerca della mia password. Mi dà a...
posta 27.06.2011 - 17:56
14
risposte

Cosa succede se il cliente ha bisogno della capacità di recuperare le password?

Al momento ho ereditato un'applicazione al lavoro e, con mio grande sgomento, mi sono reso conto che le password utente memorizzate nel database sono crittografate utilizzando una funzione di crittografia interna, che include anche la possibilit...
posta 04.05.2011 - 01:32
6
risposte

Aggiornamento dell'hash della password senza forzare una nuova password per gli utenti esistenti

Mantieni un'applicazione esistente con una base utenti consolidata. Nel corso del tempo si è deciso che la tecnica attuale di hashing della password è obsoleta e deve essere aggiornata. Inoltre, per ragioni di UX, non vuoi che gli utenti esisten...
posta 09.11.2013 - 18:15
6
risposte

Inserimento di una password in una chiamata API REST

Supponiamo di avere un'API REST che viene anche utilizzata per impostare / reimpostare le password. Supponiamo anche che funzioni su connessioni HTTPS. C'è qualche buona ragione per non mettere quella password nel percorso della chiamata, diciam...
posta 29.11.2015 - 20:12
5
risposte

Come implementare una cronologia sicura delle password

Le password non dovrebbero essere archiviate in testo semplice per ovvi motivi di sicurezza: devi memorizzare gli hash, e dovresti anche generare l'hash con attenzione per evitare gli attacchi con i tavoli arcobaleno. Tuttavia, in genere, è n...
posta 27.11.2012 - 16:19
7
risposte

Citazioni per l'inavvisibilità della password unica globale

Sto avendo un disaccordo con qualcuno (un cliente) sul processo di identificazione / autenticazione dell'utente per un sistema. Il nocciolo di esso è che vogliono che ogni utente abbia una password unica globale (cioè che due utenti non possano...
posta 02.12.2010 - 16:40
9
risposte

È sufficiente un 'if password == XXXXXXX' per la minima sicurezza?

Se creo un accesso per un'app che presenta un rischio di sicurezza medio-basso (in altre parole, non è un'app bancaria o altro), è accettabile per me verificare una password inserita dall'utente semplicemente dicendo qualcosa come : if(entered...
posta 18.02.2011 - 16:41
5
risposte

"Password dimenticata" - Come gestirlo?

Ho letto questa risposta e ha trovato un commento che insiste a non inviare la password via email: passwords should not be able to be retrieved by email, I hate that. It means my password is stored in plain text somewhere. it should be re...
posta 28.10.2010 - 17:03
1
risposta

Esiste uno standard ufficiale riguardante le pratiche di archiviazione delle password degli utenti?

Recentemente ho usato un servizio governativo di cui avevo un account da anni. Non riuscivo a ricordare la mia password per il servizio, quindi ho usato il link "password dimenticata" e sono rimasto stupito nel vedere che questo sito web del gov...
posta 19.04.2011 - 00:49