Se su una schermata di login l’utente invia un modulo con il suo nome utente e password, la password viene inviata in formato testo (anche con POST, correggimi se ho torto). Quindi la domanda è qual è il modo giusto per proteggere l’utente e la sua password contro la terza parte che potrebbe intercettare i […]
Mi sono imbattuto in una discussione in cui ho appreso che quello che stavo facendo non stava in realtà salendo le password ma sfiorandole, e da allora ho iniziato a fare entrambe le cose con una funzione come: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Ignorando l’algoritmo hash scelto (voglio che questo sia una discussione su sali e peperoni […]
C’è qualcosa che non è banalmente irrisolvibile?
bCrypt’s javadoc ha questo codice per come crittografare una password: String pw_hash = BCrypt.hashpw(plain_password, BCrypt.gensalt()); Per verificare se una password in chiaro corrisponde a una che è stata precedentemente sottoposta a hash, usa il metodo checkpw: if (BCrypt.checkpw(candidate_password, stored_hash)) System.out.println(“It matches”); else System.out.println(“It does not match”); Questi frammenti di codice implicano che il sale generato […]
Mi chiedo quale sia il metodo migliore per creare una funzione di password dimenticata su un sito web. Ne ho visti parecchi là fuori, qui ci sono alcuni o una combinazione di: passphrase domanda / risposta (1 o più) invia email con nuova password sullo schermo dare una nuova password conferma tramite email: deve fare […]
L’estensione mcrypt è deprecata e verrà rimossa in PHP 7.2 in base al commento pubblicato qui . Quindi sto cercando un modo alternativo per crittografare le password. In questo momento sto usando qualcosa del genere mcrypt_encrypt(MCRYPT_RIJNDAEL_128, md5($key, true), $string, MCRYPT_MODE_CBC, $iv) Ho bisogno della tua opinione per il modo migliore / più forte per crittografare […]
Config (applicationContext-security.xml): dall’altra parte ho SQL dal mio dataSource (è JdbcDaoImpl ): … public static final String DEF_USERS_BY_USERNAME_QUERY = “select username,password,enabled ” + “from users ” + “where username = ?”; … C’è ora una parola su sha in questo codice, quindi la password selezionata dalla tabella degli users Spring Security standard non è codificata. […]
Ho un piccolo script di Bash che uso per accedere a Twitter e faccio apparire una notifica Growl in determinate situazioni. Qual è il modo migliore per gestire la memorizzazione della mia password con lo script? Mi piacerebbe commettere questo script sul repository git e renderlo disponibile su GitHub, ma mi chiedo quale sia il […]
Qual è il metodo / tipo di dati preferito per la memorizzazione delle password in un database (preferibilmente SQL Server 2005). Il modo in cui lo sto facendo in molte delle nostre applicazioni è di usare prima le librerie di crittografia .NET e poi memorizzarle nel database come binari (16). È questo il metodo preferito […]
hey, mi piacerebbe memorizzare l’hash di una password sul telefono, ma non sono sicuro di come farlo. Posso solo sembrare di trovare metodi di crittografia. Qual è il modo migliore per cancellare la password? Grazie