在Lithium會話中存儲密碼是否安全?
[英]Is it safe to store passwords in Lithium sessions?
問題描述
我想使用Lithium的“cookie”會話適配器。 用戶登錄后,我將使用他的哈希密碼創建一個cookie。 如果此cookie存在且散列密碼與db中的密碼匹配,我將自動登錄。
這樣安全嗎?
好吧,我不是在討論cookie中的實際哈希,而是加密哈希。 我不希望任何人知道該哈希看起來如何:)鋰有“策略”加密你存儲在具有“秘密”的會話中的任何數據,因此哈希將被加密。 基本上我在問鋰的加密是否足夠好。 有人和Lithium合作過嗎?
5 個解決方案
解決方案1
3 已采納 2013-01-13 13:40:18
這取決於你的散列算法。 使用salt可以使哈希更安全:
安全密碼哈希和
請記住,密碼的哈希值實際上與密碼相同。 竊取哈希的人可以訪問用戶的帳戶,就好像他們竊取了密碼一樣。 因此,不建議將用戶密碼的哈希值存儲在cookie中,除非有一些其他信息未與用於進行身份驗證的cookie一起存儲(即雙因素身份驗證)。 加布在這個答案中 。
還可以查看這些鏈接:
是否可以在cookie中存儲哈希密碼?
為PHP密碼保護哈希和鹽
解決方案2
1 2013-01-13 13:35:27
僅當它是散列密碼與其用戶標識或用戶名的組合時。 密碼本身可能存在多次,因此不是唯一的。 用戶名或ID(通常)是唯一的。
解決方案3
1 2013-01-14 18:06:34
不,這絕對不安全。 如果您將密碼存儲在cookie中,則該散列密碼將與用戶密碼基本相同。 如果其他人以某種方式獲得該cookie,他可以在他自己的瀏覽器中設置該cookie,並作為其他人進行身份驗證。
解決方案4
1 2013-01-15 17:04:52
Lithium的Encrypt策略使用bcrypt,實際上,它幾乎是最好的東西(好吧,除了scrypt,但是讓我知道當PHP發布它時我會改變我的看法)。
在任何情況下,加密的強度並不重要,因為正如其他人所說,如果你傳輸密碼的哈希值,你也可以自己傳輸密碼。 我想不出你想要這樣做的原因。
解決方案5
1 2013-03-14 21:28:38
無論您如何存儲密碼(加密與否),如果某人獲得密碼,很可能有人以其他人的身份訪問您的網站。
Joomla ::在身份驗證橋的會話中存儲純文本密碼是否安全?
[英]Joomla:: Is it safe to store plaintext passwords in session for authentication bridge
使用 chmod 0700 將非編碼密碼存儲在文件夾中是否安全?
[英]Is it safe to store non-encoded passwords in a folder with chmod 0700?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.