App Engine : 비밀번호를 전송하고 Google App Engine에 안전하게 저장하는 가장 좋은 방법은 무엇입니까?

웹 양식에서 암호를 전송하여 데이터 저장소에 저장하는 것이 최첨단인지 궁금합니다.App Engine : 비밀번호를 전송하고 Google App Engine에 안전하게 저장하는 가장 좋은 방법은 무엇입니까?

많은 최근 게시물에서 bcrypt을 가리 켰지 만 App Engine에 대한 요구 사항 인 순수 Python 구현은 없습니다.

제안 사항?

2011-02-14 znq

모범 사례 (only through you appspot domain이기는하지만) 구글 앱 엔진에서 지원되는 HTTPS를 통해 암호를 받아야한다? 사용자 API를 Google 계정 또는 OpenID와 함께 사용하면 비밀번호를 저장하거나 전송하지 않습니다.

직접해야하는 경우 SSL을 통해 로그인 데이터를 전송하고 PBKDF2과 같은 체계를 사용하여 암호 해시 된 소금을 넣고 strengthened 암호를 저장하십시오.

출처

2011-02-14 23:06:27

물론입니다. 최첨단 기술은 Google, Facebook, Twitter 또는 LinkedIn이 비밀번호 시스템의 보안을 걱정하게하고 임시 토큰을 저장하는 것입니다. 나는 Gawker와 Sony (PS3)가 많은 영리한 직원을 직원으로두고 있었지만 착취당한 한 가지 일을 막지는 못했다고 확신한다. – Calvin

예, 예, 예. @ znq, 이미 정말 아름답게 돌아가는 바퀴를 재발 명할 가치가 있는지에 대해 오래 생각하고 열심히 생각해야합니다. –

많은 앱에서 사용자에게 Google 계정을 요구하는 것은 무리이며 OpenID는 GAE 문서에서 여전히 "실험적"으로 표시됩니다. –

google-app-engine으로 이식 된 PyCrypto을 사용할 수 있습니다.

물론 실제 암호는 절대로 저장하면 안됩니다. 해시를 저장하면 충분합니다. 사용자가 암호를 입력하면 암호를 다시 해시하고 저장된 값과 비교합니다.

당신은 물론 단지

출처

2011-02-14 18:36:38

"해시를 저장하면 충분합니다."라고 말하면됩니다. 나쁜 조언이 아니십니까? 나는 소금이 믹스에 최소한 한 번 더 추가되어야한다고 생각한다.이 대답 (수락 된 것이 아니라 가장 많이 뽑힌 것)을 확인한다 : http://stackoverflow.com/questions/1645161/salt-generation-and-open- 소스 소프트웨어/1645190 # 1645190 – hectorg87

BCrypt은 얼마 전에 Python으로 이식되었습니다. 그 이후로 나는 그것을 우아하게 사용 해왔다.

출처

2014-09-11 15:15:09

App Engine : 비밀번호를 전송하고 Google App Engine에 안전하게 저장하는 가장 좋은 방법은 무엇입니까?

답변

관련 문제