자동 로그인을 안전하게 구현하는 방법

"암호를 잘못 저장하는 방법"에 대한 많은 글을 읽었습니다 . 이들은 항상 사용자가 로깅하는 서버에 비밀번호를 저장하는 것을 말합니다. 그들은 기본적으로 재탕 등 등 그러나, 나는이에 암호를 저장하기위한 모범 사례에 관한 기사를 본 적이 있는지 소금에 암호를, 메이크업 등의 유비쿼터스 조언을 (말장난 의도) 클라이언트 는 클라이언트가 로그인 할 필요가 없습니다 그래서 로그인 할 때마다 수동으로; "기억하십시오"기능.

브라우저에서 Dropbox와 같은 프로그램에 이르기까지 많은 소프트웨어가이 기능을 가지고 있습니다.

Dropbox가 다른 컴퓨터에 복사 / 붙여 넣기를하고 Dropbox를 시작하고 ID를받은 장치로 로그인 할 수있는 컴퓨터에 ID를 저장하는 방법에 대한 최근 기사를 읽었습니다 . Dropbox 계정에 대한 로그인, 아무것도, 전체 액세스 권한이 없습니다. 이것은 정말 어리석은 디자인처럼 보이지만 더 좋은 방법은 생각할 수 없습니다.

쿠키와 같은 것을 일반 텍스트로 저장하지 않는 방법조차 확실하지 않습니다. 암호를 해독 할 경우 암호를 해독하기 위해 키를 어디에 저장합니까?

보안 취약점을 도입하지 않는 유일한 방법은 자동 로그인 기능을 제거하고 서비스를 사용할 때마다 사용자가 암호를 입력하도록하는 것입니다. 그러나 이는 사용상의 어려움이며 사용자는 그렇게 할 필요가 없습니다.

자동 로그인 기능을 구현하기 위해 자격 증명을 안전하게 로컬에 저장하는 방법에 대해 무엇을 읽을 수 있습니까? 전체 기사에 대해 원칙이 너무 단순하다면 무엇입니까? 문제의 소프트웨어는 모든 플랫폼에없는 기능 (예 : 일부 Linux 배포판의 "키 체인")에 의존해서는 안됩니다.

한 가지 방법은 다음과 같습니다.

• 사용자가 로그인 할 때 세션 아이디 를 클라이언트 컴퓨터의 쿠키 (사용자 이름 또는 비밀번호가 아님)에 저장하십시오.
• 세션을 IP 주소에 연결하기 때문에 개별 세션 ID는 시작된 컴퓨터에서만 작동합니다.

사이트를 개발하는 데 사용하는 프레임 워크에 따라이 동작은 기본 제공 기능으로 제공 될 수 있습니다.

HTTP 프로토콜은 상태가 유지되지 않기 때문에 웹 사이트를 사용하는 단일 세션 동안 누군가 로그인 상태를 유지하고 다음에 사이트를 사용할 때 "자동 로그인"하는 것과는 기능상의 차이가 없습니다. 세션이 만료되기 전에 얼마나 많은 시간을 허용 하는가에 달려 있습니다.

업데이트 : 또한 보안 강화를 위해 HTTPS를 사용하십시오.

업데이트 2 : 이 방법은 IP 주소를 많이 변경하는 사용자에게는 효과가 없다는 점에서 한계가 있습니다. 그러나 보안 수준이 향상되어 일부 상황에서 유용 할 수 있습니다.

아마존 (및 기타 많은)은 하이브리드 방식을 사용합니다. 검색, 장바구니에 품목 추가 및 이전에 사용한 신용 관리 / 배송 주소 조합을 사용하여 주문을하기위한 자동 로그인 기능을 제공합니다. 그러나 신용 카드 추가, 배송 주소 추가 / 변경, 비밀번호 업데이트, 과거 주문보기 (선택적으로 사용자에게) 및 기타 여러 계정 설정과 같은 많은 작업에 비밀번호를 입력해야합니다.

예, 컴퓨터에 액세스하는 사람들은 세션을 가로 챌 수 있지만 여전히 주문한 것을 얻을 수 있습니다! (더 중요한 것은 세션을 가로채는 인센티브는 거의 무시됩니다.) 그러나 누군가 내 컴퓨터에 액세스 할 수 있다면 평균 사이트 세션을 훔치는 사람들보다 더 큰 문제가 있습니다.

높은 보안 수준이 필요하지 않은 응용 프로그램 부분이있는 경우 사용자를 사이트의 낮은 보안 부분에 자동 로그인하기 위해 세션 ID (해시 또는 원하는 경우)를 저장하는 하이브리드 모델을 선택할 수 있습니다 보안이 높은 영역에 들어가면 암호를 입력하고 세션이 끝나면 높은 보안 토큰을 삭제해야합니다.

물론 이것이 뱅킹 레벨 사이트 인 경우 자동 로그인보다 옵션이 아닙니다. 다시 한 번 이러한 유형의 보안을 사용하는 사이트는 보호하는 데이터의 가치를 가정하고 사용자 편의성이 향상되어 납치 된 세션의 잠재적 위험을 평가합니다. 귀하의 응용 프로그램이 그렇지 않다고 생각되면 자동 로그인을 구현하지 마십시오. 사용 사례에 적합한 보안 / 사용성 수준에 액세스해야합니다.

실제로 그렇게 어렵지는 않습니다. 먼저 다음 형식으로 쿠키를 저장하십시오.

userID.token

토큰에 sha1 해시를 사용할 수 있습니다. 그런 다음 remember_me_tokens 데이터베이스 테이블 저장소 userID, 토큰의 bcrypt 해시 및 토큰 생성 시간.

그런 다음 누군가 사이트를 방문 할 때 쿠키가 설정되어 있는지 확인하십시오. 쿠키가 설정된 경우 지난 7 일 이내에 데이터베이스에 쿠키에 유효한 행이 있는지 확인하십시오. 쿠키에 대해 데이터베이스에 유효한 행이 있으면 사용자가 로그인했음을 표시하도록 세션을 설정하고 일치하는 쿠키 / 데이터베이스 행을 삭제하고 새로운 쿠키 / 토큰 / 데이터베이스 행을 생성하십시오.

로그 아웃 한 경우 쿠키를 삭제하십시오.

cron 작업을 실행하여 7 일보다 오래된 remember_me_tokens를 제거하십시오.

기기를 저장 한 기기를 신뢰하는 경우에만 가능합니다. 장치의 보안 수준은 사용자에게 달려 있습니다 (장치에 영향을 줄 수없는 경우). 그것은 당신의 손에서 간단합니다.

의견에 명시된 바와 같이 :

당신이 믿는 것에 관한 것입니다. 컴퓨터 저장소 ID를 신뢰하지 않으면 이것이 문제입니다. 키 체인을 믿으면 이것이 얻을 수있는 최대의 보안입니다. 물론 장치 하드웨어 또는 무언가 감지와 같은 사용자 지정 안전을 추가 할 수는 있지만 모두 가짜 가능하므로 결국 알 수 없습니다. 통제 할 수 없습니다.