使用 chmod 0700 將非編碼密碼存儲在文件夾中是否安全?
[英]Is it safe to store non-encoded passwords in a folder with chmod 0700?
問題描述
假設我有一個應用程序,我的“管理員”可以在其中輕松查看普通用戶的密碼。 如果需要,他們甚至可以更改它。
當新用戶到來時,“管理員”將用戶添加到“系統”中,並給他剛剛輸入的密碼。 然后用戶可以更改它。
如果用戶忘記了他的密碼,他會詢問“管理員”,管理員將能夠看到並告訴他。
在該應用程序中,假設密碼存儲在存儲在目錄中的文件中。
“管理員”正在使用(讓我們輕松命名……)“admin.php”來訪問他們的管理界面。
選擇不加密密碼而是將目錄 chmod 為“0700”,以便只有“admin.php”腳本可以訪問/修改它是否安全?
如果沒有,您能說出為什么將其存儲在“0700”文件夾中不安全嗎?
SQL 數據庫比“0700”文件夾更安全嗎?
最好的方法是什么?
3 個解決方案
解決方案1
3 2018-03-01 13:55:51
散列密碼的目的是讓除了用戶自己之外的任何人都無法知道密碼。 因為密碼應該是機密的,而該信息的機密性是用戶擁有的唯一安全形式。
通過存儲明文密碼,你有可能比實際的用戶知道密碼的其他人。 這用人為錯誤、系統配置和業務程序的安全性取代了數學確定性(或至少是概率)的安全性。 至少其中一項比數學更容易失敗。
如果您的管理員正在通過電話將密碼讀回給用戶,他們基本上已經無法通過該程序部分。 聽起來您的組織並沒有將密碼視為一種安全形式,而是從一開始就很不方便,所以……我猜怎么着? ¯\\_(ツ)_/¯
解決方案2
0 2018-03-01 14:16:01
這根本就沒有保存。 您應該始終使用加鹽密碼哈希。 沒有任何借口不散列密碼。
解決方案3
0 2018-03-01 14:26:46
安全是一個相對的詞。 管理員的權限級別或系統作為安全措施具有一定程度的安全性,因為它是訪問該目錄的障礙。 繞過其中任何一個都可以直接訪問這些密碼,而如果它們被散列,則情況並非如此。 哈希是一種方式函數。 這意味着除非您執行彩虹表攻擊,否則您無法導出密碼,這與這兩個安全屏障一起進一步增加了攻擊者的攻擊成本。 而且,從信息安全標准的角度來看,這是一種良好的安全實踐。 也就是說,哈希也不是絕對安全的。 有一些帶有哈希的數據庫,因此可以避免彩虹表成本。 所以總的來說,它不太安全,因為他們沒有使用標准的安全實踐。
Joomla ::在身份驗證橋的會話中存儲純文本密碼是否安全?
[英]Joomla:: Is it safe to store plaintext passwords in session for authentication bridge
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.