2. 질의 응답
  3. 질문에 대한 답변 데이터베이스에 암호 저장

질문에 대한 답변 데이터베이스에 암호 저장

2011-08-11 2 views
3

현재 PHP/MySQL에 대한 책을 읽었습니다. 저는 주로 암호 해싱에 관심이 있습니다. cleartext는 md5/sha1 또는 일부 해시 함수에 의해 "횡설수설"로 변환되어 데이터베이스에 저장됩니다. 알았어. 데이터베이스에 액세스하더라도 해커는 여전히 일반 텍스트를 찾는 문제가 있습니다.질문에 대한 답변 데이터베이스에 암호 저장

내 질문 (나는 바보가 아니다.)은 사용자 암호가있는 대부분의 웹 사이트에서 사용자가 암호를 잊어 버렸을 때 웹 관리자가 사용자의 암호를 잊어 버리면 이메일. 그렇긴하지만 웹 관리자는 일반 텍스트 암호를 어떻게 사용합니까?

출처

2011-08-11 Anonymous

+0

로그인/비밀번호가있는 웹 사이트를 사용하고 있습니까? 암호 복구 정책과 관련하여 가장 매력적으로 생각되는 도구는 어느 것입니까? 하나를 찾아 에뮬레이션하고 특정 질문을하십시오. 현재의 질문은 너무 철학적이며 추측입니다. –

+0

@ 다니엘 "웹 관리자는 어떻게 일반 텍스트 암호가 있습니까?" 철학적 질문은 아니지만 그렇습니다. 그것은 추측입니다. 그러나 평문처럼 암호를 사용할 수있는 방법은 여러 가지가 있습니다 ... 나는 3을 생각할 수 있습니다. –

+0

불행히도 질문은 아주 어리 석습니다. 웹 사이트가 사용자의 평문을 제공하지 않기 때문입니다. 웬일인지 나는 그들이하는 것을 당연하다고 생각했다. –

답변

0

나는 그렇게하는 웹 사이트를 본 적이 없다고 생각합니다. 일반적으로 사용자가 클릭하면 링크를 보내고 비밀번호를 클릭하면 새 비밀번호를 입력해야하는 페이지로 이동합니다. 일부 사이트에서는 임시 비밀번호를 보내어 변경을 요청합니다. 두 경우 모두 웹 사이트는 원래 평문을 가질 필요가 없습니다.

비밀번호 재설정 링크를 클릭하고 원래 암호를 일반 텍스트로 보낸 경우 해당 웹 사이트에 대한 의견이 매우 낮습니다.

출처

2011-08-11 12:41:11

+0

생각해 보시라. 그 쪽이 맞는 거 같아요. 그들은 보통 기본값을 보냅니다. 나는 꽤 하나 또는 두 개의 사이트에서 내 이메일로 다시 패스워드를 보냈 음을 확신합니다. –

+0

@JJG -이 경우에는 해시를 사용하지 않을 것입니다 (두 가지를 모두 수행하지 않겠습니다). – KevinDTimm

0

좋은 웹 사이트는 모두 암호를 보내지 않고 새 암호를 설정하는 링크입니다. 따라서 일반 텍스트 암호를 피할 수 있습니다.

출처

2011-08-11 12:41:47

0

자신의 암호를 보내는 기능이있는 웹 사이트를 사용하는 경우 암호가 일반 텍스트로 저장되어 있지 않으므로 다른 사이트로 전환하는 것을 고려해야합니다. 사용할 수있는 유일한 기능은 암호를 임의의 값으로 재설정하는 것입니다.

출처

2011-08-11 12:42:01 kstaruch

+1

기술적으로 그는 할 수 있지만 ** 반드시 그렇게해서는 안됩니다! ** –

1

암호가 다시 전송 될 수있는 경우 암호가 해시되지 않았습니다. 암호가 (일 수 있습니다!) 암호화되어 있습니다. 해싱은 넓은 의미에서 되돌릴 수있는 행동이 아닙니다. 해시 된 후, 뭔가를 비교하는 유일한 방법은 동일한 방식으로 해시를 해시하고 해시가 동일한 지 확인하는 것입니다. 당신은 결코 그것을 "해치지"못합니다. 요약에서

, 그것은 는 일반 텍스트로하지한다. 그들은 그것을 가지고 당신에게 그것을 보낼 수 있다면 해야해야 암호화. 암호화 된 버전을 유지해야하는지 여부는 보안 컨설턴트가 토론 할 수있는 포인트입니다. 즉 일 수 있습니다. 하루가 끝나면 "암호"에 대한 특별한 것은 없으며 단지 문자열이며 저장 될 수 있습니다. 그러나 보안을 유지하는 중요한 키를 형성하기 때문에 제대로 처리되기를 바랍니다.

사람들이해야한다고 생각하는 일반적인 방법은 소금과 해시하는 것입니다. 해시 알고리즘이 좋은 경우 가장 일반적으로 사용 가능한 방법이라고 생각합니다. 알고 있어야 할 것이 있지만,이 대답의 범위를 벗어납니다.

Best way to store password in database

경보 이야기 :

예전에 영국의 광대역 공급자의 고객 서비스 담당자는 사람들이 저장할 때 비밀번호가 무엇인지 ... 내가 조금 스케치 얻을 말해 있었다 내 암호를 되돌릴 수있는 형식으로 사용하는 경우 은 매우이며 보안 시스템의 약점 인 고객 서비스 담당자가 해당 암호를 볼 수 있도록 허용합니다.나는 그 이유 때문에이 공급자를 떠났다.

출처

2011-08-11 12:42:11

0

웹 관리자는 해싱 알고리즘이 약하거나 일반 텍스트 암호를 검색 할 수있는 방법이있는 경우에만 일반 텍스트 암호를 다시 제공 할 수 있으며 다시 암호를 보내 줄 수 있습니다. 물론 암호가 해시되지 않은 경우 일반 텍스트 암호를 다시 보내면됩니다. 하지만 왜 그걸 원하니? kstaruch에서 제안한대로 을 다른 사이트로 전환하는 것은 매우 안전하지 않기 때문에.

사용자가 암호를 잊어 버린 경우 사용자에게 암호를 다시 설정할 수있는 옵션을 제공하십시오. 그리고 물론, 당신이 그에게 그 선택권을주기 전에, 그의 정체성 (아마도 비밀의 질문일지도 모른다)을 먼저 확인하도록하십시오.

출처

2011-08-11 12:53:44 stacker

0

언젠가는 SONY만큼 인기가있는 것을 목표로하지 않는 한 일반 텍스트 또는 대칭 암호화 된 암호 형태로 암호를 저장하지 않습니다.

첫째 : 다음

http://www.engadget.com/2011/04/26/sony-provides-psn-update-confirms-a-compromise-of-personal-inf/

: ALSO

How should i save my Password?

:

당신이 사용하지 않는 당신은, 클라이언트 측에서 암호를 해시하려고한다 HTTPS 프로토콜 , 잔인한 될 수 있지만 당신이 센에게 사용할 수있는 몇 가지 자바 스크립트 해시 함수를 찾으려고 인증을 위해 서버에 대한 암호 해시.

출처

2011-08-11 12:57:23

관련 문제

 관련 문제