«passwords» 태그된 질문

웹 서비스가 있습니다. 지금은 암호를 서버 의 MySQL 테이블에 일반 텍스트로 저장했습니다 . 나는 이것이 최선의 방법이 아니라는 것을 알고 있습니다. 비밀번호가 안전한 데이터베이스에 저장되는 경우 비밀번호를 암호화해야하는 이유는 무엇입니까? 누군가 내 데이터베이스를 해킹하면 모든 사람의 비밀번호를 얻습니다. 그러나 누군가 데이터를 삭제하는 등 누군가 내 데이터베이스에 들어가면 다른 문제가 있습니다. …

78 mysql  encryption  passwords 

암호가 허용되는 길이를 제한하거나 특정 문자를 허용하지 않는 사이트가 많이 있습니다. 비밀번호의 검색 공간을 넓히고 길게하고 싶기 때문에 제한적입니다. 또한 해싱이 아닐 수도 있다는 불편한 느낌을줍니다. 이 있습니까 좋은 하나가 상위 길이를 설정하거나 암호 문자를 제외한 이유는?

39 security  passwords 

나는 현재 직장에서 응용 프로그램을 상속 받았으며 당황스럽게도 데이터베이스에 저장된 사용자 암호는 사내 암호화 기능을 사용하여 암호화되며 해독 기능도 포함되어 있음을 깨달았습니다. 따라서 사용자가 실제로해야 할 일은 사용자 테이블을 복사하고 암호화 어셈블리 (데이터베이스 프로덕션 액세스 권한이있는 사람)를 복사하는 것입니다. 그러면 10 만 개의 전자 메일 주소와 잠재적 인 암호에 액세스 …

34 security  client-relations  passwords 

기존 사용자 기반으로 기존 응용 프로그램을 유지 관리합니다. 시간이 지남에 따라 현재 암호 해싱 기술이 오래되어 업그레이드해야한다고 결정됩니다. 또한 UX 이유로 인해 기존 사용자가 자신의 비밀번호를 강제로 업데이트하는 것을 원하지 않습니다. 전체 비밀번호 해싱 업데이트는 화면 뒤에서 수행해야합니다. 다음을 포함하는 사용자를위한 '단순한'데이터베이스 모델을 가정하십시오. 신분증 이메일 암호 그러한 요구 사항을 …

32 security  language-agnostic  passwords 

암호를 설정 / 재설정하는 데 사용되는 REST API가 있다고 가정하십시오. 이것이 HTTPS 연결을 통해 작동한다고 가정합시다. 이 암호를 호출 경로에 넣지 말아야 할 충분한 이유가 있습니까? 또한 BASE64로 암호화한다고 가정 해 봅시다. 예를 들어 다음과 같이 비밀번호를 재설정합니다. http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD BASE64는 암호화가 아니라는 것을 알고 있지만이 경우에는 숄더 서핑의 비밀번호 만 …

31 rest  passwords 

보안상의 이유로 비밀번호를 일반 텍스트로 저장해서는 안됩니다. 해시를 저장해야하며 레인보우 테이블 공격을 피하기 위해 해시를 신중하게 생성해야합니다. 그러나 일반적으로 마지막 n 개의 비밀번호 를 저장하고 다른 비밀번호간에 최소한의 복잡성과 최소한의 변경을 적용해야합니다 (Password_1, Password_2, ..., Password_ n 과 같은 순서를 사용하지 못하도록 ). 이것은 일반 텍스트 암호로 사소한 것이지만 해시 …

23 security  passwords 

시스템의 사용자 식별 / 인증 프로세스에 대해 누군가 (클라이언트)와 의견이 맞지 않습니다. 이것의 핵심은 각 사용자가 전역 적으로 고유 한 암호를 갖기를 원한다는 것입니다 (즉, 두 명의 사용자가 동일한 암호를 가질 수는 없음). 나는 이것에 대한 모든 명백한 주장을 제기했습니다 (보안 취약성, 인증과 식별을 혼동하고, 무의미한 것 등). 그러나 그들은이 …

20 security  passwords 

보안 위험이 중간 이하인 앱 (즉, 뱅킹 앱이 아닌 다른 앱)에 대한 로그인을 만들면 다음과 같이 말함으로써 사용자가 입력 한 비밀번호를 확인할 수 있습니다. if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); 효과가있는 것처럼 보이지만 그것이 필요한 전부라면 확실하지 않습니다. 사용자 이름 / 암호 콤보를 간단하게 검사하면 충분합니까? 업데이트 : 특정 프로젝트는 …

20 security  passwords  validation 

이 답변을 읽고 이메일로 비밀번호를 보내지 말 것을 요구하는 의견을 찾았습니다. 이메일로 비밀번호를 검색 할 수 없어야합니다. 내 비밀번호가 일반 텍스트로 저장되어 있음을 의미합니다. 재설정 만해야합니다. 비밀번호 찾기 옵션을 처리해야합니까? 어떤 비용을 지불하더라도 사용자가 암호를 읽을 수 있도록 원시 암호를 UI에 표시해야합니다. "비밀번호 분실"을 처리하는 방법은 무엇입니까?

18 programming-practices  security  email  passwords 

나는 최근 몇 년 전부터 계정을 가지고있는 정부 서비스를 사용했습니다. 서비스 비밀번호를 잊어 버렸기 때문에 "비밀번호를 잊어 버렸습니다"링크를 사용하여이 정부 웹 사이트에서 내 비밀번호를 일반 텍스트로 내 이메일 주소로 보냈 음을 알게되었습니다. 본인은 사용자 비밀번호를 처리하는 방법을 개인적으로 알고 있으며 피드백 양식을 통해 내 우려 사항에 대한 의견을 보냈습니다 (정부 …

17 security  standards  passwords 

폐쇄되었습니다 . 이 질문은 의견 기반 입니다. 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 사실과 인용으로 답변 할 수 있도록 질문을 업데이트하십시오 . 휴일 3 년 전 . 신뢰할 수있는 웹 사이트에서는 항상 "모든 데이터가 암호화 됨"또는 "모든 암호가 128 비트 암호화를 사용하여 암호화됩니다"등과 같은 …

15 security  ethics  encryption  passwords  hashing 

암호 강도에 대한 다양한 리소스 를 읽은 후 암호의 엔트로피 양을 대략적으로 추정하는 알고리즘을 만들려고합니다. 가능한 포괄적 인 알고리즘을 만들려고합니다. 이 시점에서 나는 의사 코드 만 가지고 있지만 알고리즘은 다음을 다룹니다. 비밀번호 길이 반복되는 문자 패턴 (논리) 다른 문자 공간 (LC, UC, 숫자, 특수, 확장) 사전 공격 다음 내용은 다루지 …

14 algorithms  passwords 

현재로서는이 질문이 Q & A 형식에 적합하지 않습니다. 답변, 사실, 참고 자료 또는 전문 지식을 통해 답변이 뒷받침 될 것으로 예상되지만이 질문은 토론, 논쟁, 여론 조사 또는 광범위한 토론을 요구할 것입니다. 이 질문을 개선하고 다시 열 수 있다고 생각 되면 도움말 센터 를 방문하여 안내를 받으십시오 . 휴일 육년 전 …

13 security  passwords  authorization  risk  permissions 

암호가 해시로 저장된 경우 암호를 재설정하려고하면 컴퓨터가 마지막 암호와 비슷한 것을 어떻게 알 수 있습니까? 하나는 해시되어 되돌릴 수 없기 때문에 두 암호가 완전히 다르지 않습니까?

11 database  security  hashing  passwords 

이 질문은 오늘 우리가 작업하는 웹 사이트의 '계정 만들기'페이지에 대해 동료와 논의하면서 나왔습니다. 동료의 의견에 따르면 등록을 최대한 빠르고 완벽하게해야하므로 사용자에게 전자 메일을 요청하고 나머지는 처리해야합니다. 나는 그 의도에 동의하지만 그것에 대해 몇 가지 우려가 있습니다. 우리는 암호를 생성하기 때문에, 우리 가 반드시 암호가 충분히 강한이 할 책임을 내 경험상 …

11 security  passwords