Articles of password di

Come inviare password in modo sicuro tramite HTTP?

Se su una schermata di login l’utente invia un modulo con il suo nome utente e password, la password viene inviata in formato testo (anche con POST, correggimi se ho torto). Quindi la domanda è qual è il modo giusto per proteggere l’utente e la sua password contro la terza parte che potrebbe intercettare i […]

Best practice: password saling & peppering?

Mi sono imbattuto in una discussione in cui ho appreso che quello che stavo facendo non stava in realtà salendo le password ma sfiorandole, e da allora ho iniziato a fare entrambe le cose con una funzione come: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Ignorando l’algoritmo hash scelto (voglio che questo sia una discussione su sali e peperoni […]

Quale algoritmo dovrei usare per hash password nel mio database?

C’è qualcosa che non è banalmente irrisolvibile?

Devo conservare il sale con bcrypt?

bCrypt’s javadoc ha questo codice per come crittografare una password: String pw_hash = BCrypt.hashpw(plain_password, BCrypt.gensalt()); Per verificare se una password in chiaro corrisponde a una che è stata precedentemente sottoposta a hash, usa il metodo checkpw: if (BCrypt.checkpw(candidate_password, stored_hash)) System.out.println(“It matches”); else System.out.println(“It does not match”); Questi frammenti di codice implicano che il sale generato […]

Password dimenticata: qual è il metodo migliore per implementare una funzione di password dimenticata?

Mi chiedo quale sia il metodo migliore per creare una funzione di password dimenticata su un sito web. Ne ho visti parecchi là fuori, qui ci sono alcuni o una combinazione di: passphrase domanda / risposta (1 o più) invia email con nuova password sullo schermo dare una nuova password conferma tramite email: deve fare […]

mcrypt è deprecato, qual è l’alternativa?

L’estensione mcrypt è deprecata e verrà rimossa in PHP 7.2 in base al commento pubblicato qui . Quindi sto cercando un modo alternativo per crittografare le password. In questo momento sto usando qualcosa del genere mcrypt_encrypt(MCRYPT_RIJNDAEL_128, md5($key, true), $string, MCRYPT_MODE_CBC, $iv) Ho bisogno della tua opinione per il modo migliore / più forte per crittografare […]

Spring Security: codifica della password in DB e in applicationContext

Config (applicationContext-security.xml): dall’altra parte ho SQL dal mio dataSource (è JdbcDaoImpl ): … public static final String DEF_USERS_BY_USERNAME_QUERY = “select username,password,enabled ” + “from users ” + “where username = ?”; … C’è ora una parola su sha in questo codice, quindi la password selezionata dalla tabella degli users Spring Security standard non è codificata. […]

Qual è la migliore pratica per gestire le password nei repository git?

Ho un piccolo script di Bash che uso per accedere a Twitter e faccio apparire una notifica Growl in determinate situazioni. Qual è il modo migliore per gestire la memorizzazione della mia password con lo script? Mi piacerebbe commettere questo script sul repository git e renderlo disponibile su GitHub, ma mi chiedo quale sia il […]

Metodo preferito di memorizzazione delle password nel database

Qual è il metodo / tipo di dati preferito per la memorizzazione delle password in un database (preferibilmente SQL Server 2005). Il modo in cui lo sto facendo in molte delle nostre applicazioni è di usare prima le librerie di crittografia .NET e poi memorizzarle nel database come binari (16). È questo il metodo preferito […]

Come hash una password

hey, mi piacerebbe memorizzare l’hash di una password sul telefono, ma non sono sicuro di come farlo. Posso solo sembrare di trovare metodi di crittografia. Qual è il modo migliore per cancellare la password? Grazie