«passwords» 태그된 질문

암호는 ID를 증명하거나 리소스에 대한 액세스 권한을 얻기 위해 인증에 사용되는 비밀 단어 또는 문자열입니다.

15
비밀번호가 안전한 데이터베이스에 저장되는 경우 비밀번호를 암호화해야하는 이유는 무엇입니까?
웹 서비스가 있습니다. 지금은 암호를 서버 의 MySQL 테이블에 일반 텍스트로 저장했습니다 . 나는 이것이 최선의 방법이 아니라는 것을 알고 있습니다. 비밀번호가 안전한 데이터베이스에 저장되는 경우 비밀번호를 암호화해야하는 이유는 무엇입니까? 누군가 내 데이터베이스를 해킹하면 모든 사람의 비밀번호를 얻습니다. 그러나 누군가 데이터를 삭제하는 등 누군가 내 데이터베이스에 들어가면 다른 문제가 있습니다. …

10
문자를 허용하지 않고 암호 길이를 제한하는 유효한 이유가 있습니까?
암호가 허용되는 길이를 제한하거나 특정 문자를 허용하지 않는 사이트가 많이 있습니다. 비밀번호의 검색 공간을 넓히고 길게하고 싶기 때문에 제한적입니다. 또한 해싱이 아닐 수도 있다는 불편한 느낌을줍니다. 이 있습니까 좋은 하나가 상위 길이를 설정하거나 암호 문자를 제외한 이유는?

14
클라이언트가 암호를 검색하는 기능이 필요한 경우 어떻게합니까?
나는 현재 직장에서 응용 프로그램을 상속 받았으며 당황스럽게도 데이터베이스에 저장된 사용자 암호는 사내 암호화 기능을 사용하여 암호화되며 해독 기능도 포함되어 있음을 깨달았습니다. 따라서 사용자가 실제로해야 할 일은 사용자 테이블을 복사하고 암호화 어셈블리 (데이터베이스 프로덕션 액세스 권한이있는 사람)를 복사하는 것입니다. 그러면 10 만 개의 전자 메일 주소와 잠재적 인 암호에 액세스 …

6
기존 사용자를 위해 새 비밀번호를 강요하지 않고 비밀번호 해싱 업데이트
기존 사용자 기반으로 기존 응용 프로그램을 유지 관리합니다. 시간이 지남에 따라 현재 암호 해싱 기술이 오래되어 업그레이드해야한다고 결정됩니다. 또한 UX 이유로 인해 기존 사용자가 자신의 비밀번호를 강제로 업데이트하는 것을 원하지 않습니다. 전체 비밀번호 해싱 업데이트는 화면 뒤에서 수행해야합니다. 다음을 포함하는 사용자를위한 '단순한'데이터베이스 모델을 가정하십시오. 신분증 이메일 암호 그러한 요구 사항을 …

6
REST API 호출에 비밀번호 넣기
암호를 설정 / 재설정하는 데 사용되는 REST API가 있다고 가정하십시오. 이것이 HTTPS 연결을 통해 작동한다고 가정합시다. 이 암호를 호출 경로에 넣지 말아야 할 충분한 이유가 있습니까? 또한 BASE64로 암호화한다고 가정 해 봅시다. 예를 들어 다음과 같이 비밀번호를 재설정합니다. http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD BASE64는 암호화가 아니라는 것을 알고 있지만이 경우에는 숄더 서핑의 비밀번호 만 …
31 rest  passwords 

5
안전한 비밀번호 기록을 구현하는 방법
보안상의 이유로 비밀번호를 일반 텍스트로 저장해서는 안됩니다. 해시를 저장해야하며 레인보우 테이블 공격을 피하기 위해 해시를 신중하게 생성해야합니다. 그러나 일반적으로 마지막 n 개의 비밀번호 를 저장하고 다른 비밀번호간에 최소한의 복잡성과 최소한의 변경을 적용해야합니다 (Password_1, Password_2, ..., Password_ n 과 같은 순서를 사용하지 못하도록 ). 이것은 일반 텍스트 암호로 사소한 것이지만 해시 …

7
전 세계적으로 고유 한 암호를 사용할 수없는 인용
시스템의 사용자 식별 / 인증 프로세스에 대해 누군가 (클라이언트)와 의견이 맞지 않습니다. 이것의 핵심은 각 사용자가 전역 적으로 고유 한 암호를 갖기를 원한다는 것입니다 (즉, 두 명의 사용자가 동일한 암호를 가질 수는 없음). 나는 이것에 대한 모든 명백한 주장을 제기했습니다 (보안 취약성, 인증과 식별을 혼동하고, 무의미한 것 등). 그러나 그들은이 …

9
'비밀번호 == XXXXXXX 인 경우'보안 수준이 충분합니까?
보안 위험이 중간 이하인 앱 (즉, 뱅킹 앱이 아닌 다른 앱)에 대한 로그인을 만들면 다음과 같이 말함으로써 사용자가 입력 한 비밀번호를 확인할 수 있습니다. if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); 효과가있는 것처럼 보이지만 그것이 필요한 전부라면 확실하지 않습니다. 사용자 이름 / 암호 콤보를 간단하게 검사하면 충분합니까? 업데이트 : 특정 프로젝트는 …

5
"비밀번호를 잊어 버렸습니다"-어떻게 처리합니까?
이 답변을 읽고 이메일로 비밀번호를 보내지 말 것을 요구하는 의견을 찾았습니다. 이메일로 비밀번호를 검색 할 수 없어야합니다. 내 비밀번호가 일반 텍스트로 저장되어 있음을 의미합니다. 재설정 만해야합니다. 비밀번호 찾기 옵션을 처리해야합니까? 어떤 비용을 지불하더라도 사용자가 암호를 읽을 수 있도록 원시 암호를 UI에 표시해야합니다. "비밀번호 분실"을 처리하는 방법은 무엇입니까?

1
사용자 비밀번호 저장 방법에 관한 공식 표준이 있습니까?
나는 최근 몇 년 전부터 계정을 가지고있는 정부 서비스를 사용했습니다. 서비스 비밀번호를 잊어 버렸기 때문에 "비밀번호를 잊어 버렸습니다"링크를 사용하여이 정부 웹 사이트에서 내 비밀번호를 일반 텍스트로 내 이메일 주소로 보냈 음을 알게되었습니다. 본인은 사용자 비밀번호를 처리하는 방법을 개인적으로 알고 있으며 피드백 양식을 통해 내 우려 사항에 대한 의견을 보냈습니다 (정부 …

6
웹 사이트 및 비밀번호가 안전한지 사용자에게 확인하는 방법 [닫기]
폐쇄되었습니다 . 이 질문은 의견 기반 입니다. 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 사실과 인용으로 답변 할 수 있도록 질문을 업데이트하십시오 . 휴일 3 년 전 . 신뢰할 수있는 웹 사이트에서는 항상 "모든 데이터가 암호화 됨"또는 "모든 암호가 128 비트 암호화를 사용하여 암호화됩니다"등과 같은 …

4
비밀번호의 엔트로피를 어떻게 추정 할 수 있습니까?
암호 강도에 대한 다양한 리소스 를 읽은 후 암호의 엔트로피 양을 대략적으로 추정하는 알고리즘을 만들려고합니다. 가능한 포괄적 인 알고리즘을 만들려고합니다. 이 시점에서 나는 의사 코드 만 가지고 있지만 알고리즘은 다음을 다룹니다. 비밀번호 길이 반복되는 문자 패턴 (논리) 다른 문자 공간 (LC, UC, 숫자, 특수, 확장) 사전 공격 다음 내용은 다루지 …

8
안전하지 않은 비밀번호로 사용자 처벌 [닫기]
현재로서는이 질문이 Q & A 형식에 적합하지 않습니다. 답변, 사실, 참고 자료 또는 전문 지식을 통해 답변이 뒷받침 될 것으로 예상되지만이 질문은 토론, 논쟁, 여론 조사 또는 광범위한 토론을 요구할 것입니다. 이 질문을 개선하고 다시 열 수 있다고 생각 되면 도움말 센터 를 방문하여 안내를 받으십시오 . 휴일 육년 전 …


1
계정을 만드는 동안 암호를 자동으로 생성하여 사용자에게 보내거나 사용자가 자신의 암호를 만들도록하는 것이 더 낫습니까?
이 질문은 오늘 우리가 작업하는 웹 사이트의 '계정 만들기'페이지에 대해 동료와 논의하면서 나왔습니다. 동료의 의견에 따르면 등록을 최대한 빠르고 완벽하게해야하므로 사용자에게 전자 메일을 요청하고 나머지는 처리해야합니다. 나는 그 의도에 동의하지만 그것에 대해 몇 가지 우려가 있습니다. 우리는 암호를 생성하기 때문에, 우리 가 반드시 암호가 충분히 강한이 할 책임을 내 경험상 …

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.