방금 웹 사이트에서 사용자 로그인을위한 "기억하기"기능을 구현했습니다. 대부분의 충고는 쿠키에 사용자 ID를 저장 한 다음 오랫동안 추측 할 수없는 임의의 키를 갖는 것입니다. 이 두 가지가 일치하면 사용자는 인증 된 것으로 간주됩니다.보안 키가 두 개 이상입니까?
실제로 두 개의 문자열을 사용하면 도움이됩니까? 더 긴 열쇠가 똑같은 일을하지 않겠습니까?
즉, 하나의 긴 키로 공격에 동등하게 영향을받는 두 개의 키가 아닌가요? (나는 당신이 얼마나 많은 지에 관계없이 키의 전체 길이라고 상상한다.)
참고 : DB에서 큰 UUID를 찾는 것과 같은 몇 가지 DB 쿼리 효율성 문제가있을 수있다. 작은 숫자를 찾는 것만 큼 쉽지는 않습니다. Gmail은 사용자 이름과 함께 일회성 로그인 토큰으로 6 자리 숫자를 사용합니다.
감사합니다. JP, 어제 내 다른 질문에 나왔다. 그 질문은 제가이 질문을하는 이유입니다. 대답이 아닙니다. 모두가 말하길, "userid 및 rememberme 토큰"은 ... 더 안전하거나 간단합니까? –