Запитання з тегом «passwords»

Пароль - це таємне слово або рядок символів, який використовується для автентифікації, для підтвердження особи або отримання доступу до ресурсу.

15
Чому паролі повинні бути зашифровані, якщо вони зберігаються в захищеній базі даних?
У мене є веб-служба. Зараз у мене на сервері паролі зберігаються у простому тексті в таблиці MySQL . Я знаю, що це не найкраща практика, і саме тому я працюю над цим. Чому паролі повинні бути зашифровані, якщо вони зберігаються в захищеній базі даних? Я розумію, що якщо хтось заробить …

10
Чи є поважні причини заборони символів та обмеження довжини паролів?
Я натрапив на досить багато сайтів, які або обмежують довжину, на яку вони дозволяють створювати паролі, і / або забороняють певні символи. Це обмежує мене, оскільки я хочу розширити і подовжити простір пошуку свого пароля. Це також дає мені незручне відчуття, що вони можуть не поспішати. Чи є вагомі причини …

14
Що робити, якщо клієнту потрібна можливість отримання паролів?
В даний час я успадкував додаток на роботі і, на жаль, я зрозумів, що паролі користувачів, що зберігаються в базі даних, шифруються за допомогою функції домашнього шифрування, яка також включає можливість розшифровки. Отже, все, що дійсно потрібно зробити, - скопіювати таблицю користувачів та скопіювати збірку шифрування (будь-хто, хто має доступ …

6
Оновлення хешування паролів без примушування нового пароля для існуючих користувачів
Ви підтримуєте наявну програму зі встановленою базою користувачів. З часом вирішено, що поточна техніка введення пароля застаріла і потребує вдосконалення. Крім того, з причин UX ви не хочете, щоб існуючі користувачі змушували оновлювати свій пароль. Ціле оновлення хешування паролів має відбуватися за екраном. Припустимо, модель "спрощеної" бази даних для користувачів, …

6
Введення пароля при виклику API REST
Припустимо, у мене є API REST, який також використовується для встановлення / скидання паролів. Припустимо також, що це працює через HTTPS-з'єднання. Чи є якась вагома причина не вставити цей пароль у шлях виклику, скажімо також, що я кодую його в BASE64? Прикладом може бути скидання пароля таким чином: http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD Я …
31 rest  passwords 

5
Як реалізувати безпечну історію паролів
Паролі не повинні зберігатися в простому тексті з очевидних причин безпеки: ви повинні зберігати хеші, а також слід ретельно генерувати хеш, щоб уникнути атак на райдужну таблицю. Однак зазвичай у вас є вимога зберігати останні n паролів і забезпечити мінімальну складність і мінімальну зміну між різними паролями (щоб запобігти користувачеві …

7
Цитати про неприйнятність глобально унікального пароля
У мене виникають незгоди з кимось (клієнтом) щодо процесу ідентифікації / аутентифікації користувача для системи. Суть у тому, що вони хочуть, щоб кожен користувач мав глобально унікальний пароль (тобто жоден користувач не може мати однаковий пароль). Я висунув усі очевидні аргументи проти цього (це вразливість безпеки, вона плутає ідентифікацію з …

9
Чи вистачає "якщо пароль == XXXXXXX" для мінімальної безпеки?
Якщо я створю логін для програми, що має середній та низький ризик безпеки (іншими словами, це не банківська програма чи що-небудь інше), чи прийнятно я перевірити пароль, введений користувачем, просто сказавши щось на кшталт: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); Здається, це легко бути ефективним, але я, звичайно, не заперечував …

5
"Забули пароль" - Як це впоратися?
Я прочитав цю відповідь і знайшов коментар із наполяганням не надсилати пароль електронною поштою: паролі не повинні бути отримані електронною поштою, я ненавиджу це. Це означає, що мій пароль десь зберігається у простому тексті. його слід скидати лише. Це викликає у мене питання щодо використання параметра Забутий пароль? При будь-якій …

1
Чи існує офіційний стандарт щодо правил зберігання паролів користувача?
Нещодавно я користувався службою уряду, на яку у мене був обліковий запис ще років тому. Я не міг запам'ятати свій пароль для сервісу, тому я використав посилання "забутий пароль" і здивовано побачив, що цей урядовий веб-сайт надіслав свій пароль на свою електронну адресу в простому тексті. Мені особисто відомо, як …

6
Як запевнити користувачів, що веб-сайт та паролі захищені [закрито]
Закрито . Це питання ґрунтується на думці . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб на нього можна було відповісти фактами та цитатами, відредагувавши цю публікацію . Закрито 4 роки тому . На надійних веб-сайтах я завжди бачу твердження, такі як "Усі дані зашифровані" або "Усі …

4
Як я можу оцінити ентропію пароля?
Прочитавши різні ресурси про надійність пароля, я намагаюся створити алгоритм, який дасть приблизну оцінку кількості ентропії пароля. Я намагаюся створити максимально всебічний алгоритм. На даний момент у мене є лише псевдокод, але алгоритм охоплює наступне: довжина пароля повторені символи шаблони (логічні) різні символьні пробіли (LC, UC, Numeric, Special, Extended) словникові …

8
Покарання користувачів за незахищені паролі [закрито]
Наразі це запитання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення . Закрито …

5
Якщо паролі зберігаються хеш-пам'ять, як комп'ютер дізнається, що ваш пароль схожий на останній, якщо ви спробуєте скинути пароль?
Якщо паролі зберігаються хеш-пам'ять, як комп'ютер дізнається, що ваш пароль схожий на останній, якщо ви спробуєте скинути пароль? Чи не будуть два паролі абсолютно різними, оскільки один хеширується і не може бути повернутий назад?

1
Під час створення облікового запису краще сформувати пароль автоматично та надіслати його користувачеві чи дозволити користувачеві створити свій власний пароль?
Це питання виникло сьогодні під час обговорення з колегою про сторінку "створити обліковий запис" для веб-сайту, над яким ми працюємо. Думка мого колеги полягає в тому, що ми повинні зробити реєстрацію максимально швидкою та безпроблемною, тому нам слід просто попросити у користувача його електронну пошту та подбати про інше. Я …

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.