[英]Is it safe to store passwords in Lithium sessions?
我想使用Lithium的“cookie”會話適配器。 用戶登錄后,我將使用他的哈希密碼創建一個cookie。 如果此cookie存在且散列密碼與db中的密碼匹配,我將自動登錄。
這樣安全嗎?
好吧,我不是在討論cookie中的實際哈希,而是加密哈希。 我不希望任何人知道該哈希看起來如何:)鋰有“策略”加密你存儲在具有“秘密”的會話中的任何數據,因此哈希將被加密。 基本上我在問鋰的加密是否足夠好。 有人和Lithium合作過嗎?
這取決於你的散列算法。 使用salt可以使哈希更安全:
安全密碼哈希和
請記住,密碼的哈希值實際上與密碼相同。 竊取哈希的人可以訪問用戶的帳戶,就好像他們竊取了密碼一樣。 因此,不建議將用戶密碼的哈希值存儲在cookie中,除非有一些其他信息未與用於進行身份驗證的cookie一起存儲(即雙因素身份驗證)。 加布在這個答案中 。
還可以查看這些鏈接:
是否可以在cookie中存儲哈希密碼?
為PHP密碼保護哈希和鹽
僅當它是散列密碼與其用戶標識或用戶名的組合時。 密碼本身可能存在多次,因此不是唯一的。 用戶名或ID(通常)是唯一的。
不,這絕對不安全。 如果您將密碼存儲在cookie中,則該散列密碼將與用戶密碼基本相同。 如果其他人以某種方式獲得該cookie,他可以在他自己的瀏覽器中設置該cookie,並作為其他人進行身份驗證。
Lithium的Encrypt
策略使用bcrypt,實際上,它幾乎是最好的東西(好吧,除了scrypt,但是讓我知道當PHP發布它時我會改變我的看法)。
在任何情況下,加密的強度並不重要,因為正如其他人所說,如果你傳輸密碼的哈希值,你也可以自己傳輸密碼。 我想不出你想要這樣做的原因。
無論您如何存儲密碼(加密與否),如果某人獲得密碼,很可能有人以其他人的身份訪問您的網站。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.