2010-01-13 4 views
1

암호를 기록하는 두 가지 방법이 있습니다 - 나는 그 중 하나에 아무런 문제가 보이지 않습니다.로그 파일에 암호를 기록하는 방법은 무엇입니까?

1. Not log any password, just log the user. 
2. Log '******' against the password. logger.info("User=" + user + "logged with Password=******"); 

이러한 상황에 대한 모범 사례가 있습니까?

+1

두 가지 유형을 구분하려면 비밀번호가 있거나 없으면 그냥 로그인하십시오.''암호로 기록한 사용자'',''암호없이 ''기록한 사용자''는 명확하고 간결합니다. –

+0

왜 정확히 이것을 원합니까? –

+0

사용자가 사용하는 인증 기술에 대한 정보를 제공합니다. +1 알록, 이해해. 그러나 왜 ****을 사용하는 것이 잘못된 선택입니까? – pankajt

답변

9

로그에 '******'을 (를) 로깅하는 요점은 무엇입니까? 공간을 차지하고 정보를 제공하지 않는 추가 텍스트 일뿐입니다. 그냥 내버려둬.

+0

OP는 다른 방법으로 로그인을보고하는 데 관심이 있다고 생각한다. 비밀 번호보다, 그리고 그들을 구별하십시오. 로그 나 여러 개의 별에서 암호를보고하는 것은 당연합니다. –

+0

당신은 그 질문에 대해 어떻게 말합니까? 나는 그 의미를 전혀 알지 못한다. –

2

암호에 대한 정보가 저장되지 않으면 아무 문제가 없습니다.

1

모든 로그 파일에는 암호가 없습니다.

+2

항상 (;-)) 너무 강하지는 않습니다. –

+0

실제로 https://bugs.launchpad.net/ubuntu/+source/shadow/+bug/34606을 참조하십시오. –

0

내가 미래에 누군가가 로그를 읽고 사용자가 로그인 방법을 찾을 수있는 있도록 암호의 존재가 기록되어야한다고 생각합니다. (비밀번호, OID 등)하여 DB의 구조에 따라

0

, 로그인 한 경우 현재 비밀번호를 사용했음을 유추 할 수 있기 때문에 로그인 한 비밀번호를 기록하는 실제 목적은 없습니다 :)

비밀번호 변경 기록이있는 경우 어쨌든 반전 될 수없는 해시 형식의 암호)이 시스템을 사용하여 어떤 이유로 든 절대 암호 X를 사용했는지 결정할 수 있습니다. 날짜 FOO 및 날짜 표시 줄.

어쨌든 요점은 user X logged in.입니다. 실제로 기록해야합니다.

0

고민하지 마세요. 별표 로깅은 마스크 된 암호에 암호 길이와 동일한 수의 별이 포함되어 있으면 위험합니다.이를 수행하면 암호에 대한 정보를 제공 할 수 있습니다. 대안은 항상 별표의 다른 수를 기록하는 것이지만, 그렇게 할 때 어떤 점이 있습니까?

0

암호 또는 ***을 기록하지 마십시오. 다른 인증 방법을 알고 싶으면이를 분류하고 적절하게 기록하십시오.

암호를 로깅하는 이유 또는 ***이 어떤 이점이 있는지 나는 알지 못합니다. 실제로 암호를 기록하는 것은 완전한 no-no 및 보안 위험입니다.

0

처음에는 왜 그런 것을 원하겠습니까?

는 좀 더 많은 옵션 목적의 강력한 암호 해시를 기록 할 몇 가지 알려진 암호 목록 사이에서 식별 할 수

  • 로그인하지 비밀번호

  • (내림차순 보안에서) 있다고 생각 암호를 사용하여 eg MD5/SHA1. 별표 수를 저장하는 것은이 경우 폼이지만 안전한 것은 아닙니다.

  • 비밀 번호를 복구하려면 어떻게해야합니까? AES.

  • 로그 일반 텍스트 암호.

관련 문제