Nasıl daha sonra düz metin alma için etik yaklaşım Kullanıcı şifre depolama gerekir?

SORU

17 ŞUBAT 2010, ÇARŞAMBA

Nasıl daha sonra düz metin alma için etik yaklaşım Kullanıcı şifre depolama gerekir?

Ben devam etmek için inşa daha fazla ve daha fazla web siteleri ve web uygulamaları ben sık sık sorulan saklamak için Kullanıcı şifreleri bir şekilde onlar alınabilir eğer/ne zaman bir kullanıcı, bir sorun (ya da e-posta Şifremi unuttum linki, yürüyüş onları telefonda, vb.) Ben acı bu uygulamaya karşı mücadele ve ‘ekstra’ programlama parolasını sıfırlar ve yönetici asistanlığı Olası gerçek şifre saklamak için. çok

Ben onunla savaşamıyorum (veya kazanamayan) sonra hep kodlamak şifreyi bir şekilde, böylece en azından değil mi depolanan düz metin veritabanı—ama ben farkında eğer benim DB alır hacked olmayacağı çok almak için suçlu crack şifreleri de—ki beni rahatsız ediyor.

Mükemmel dünyada Millet olur güncelleme şifreleri sık ve yinelenen onları genelinde pek çok farklı siteler ne yazık ki biliyorum BİRÇOK kişi, aynı iş/home/e-posta/banka şifresi, ve hatta serbestçe verdi bana ne zaman ihtiyaç duydukları yardım. Eğer DB güvenlik prosedürleri, bazı nedenlerden dolayı başarısız bir mali ölümünden sorumlu olmak istemiyorum.

Etik ise çok daha az saygı ile tedavi olsa bile, bazı kullanıcılar için, geçimlerini ne olabilir korumaktan sorumlu hissediyorum ve ahlaki olarak. Yaklaşım ve argümanlar için bir çok yol sağlamalarının ve farklı kodlama seçenekleri tuzlama için vardır eminim, ama tek bir ‘en iyi uygulama onları saklamak için zaman mı? Eğer bu şekilde herhangi bir fark yaratır mı PHP ve MySQL kullanıyorum hemen hemen tüm durumlarda özelliklerini ele alacağım.

Ödül için ek Bilgi

Bu yapmak istediğin bir şey değil biliyorum ve çoğu durumda reddettiğiniz takdirde en iyi olduğunu açıklığa kavuşturmak istiyorum. Ancak, en iyi adımları için bu yaklaşım yaparsanız almak için arıyorum, bu yaklaşım esas hakkındaki ders arayan değilim.

Bir not aşağıda web siteleri büyük oranda yaşlı, zihinsel engelli, ya da çok genç yönelik güvenli bir şifre kurtarma yordamı gerçekleştirmek için sorulduğunda insanlar için kafa karıştırıcı olabilir işaret yaptım. Bazı kullanıcılar ya da bir servis teknisyeni sisteme yardımcı olması veya e-postayla sahip ekstra yardıma ihtiyacım var bu gibi durumlarda basit ve sıradan olabilir ama doğrudan onları görebilir.

Böyle sistemlerde bu demografik gelen kayıp oranı ise kullanıcıların erişim hizmetleri bu düzeyde, lütfen aklında böyle bir kurulum ile cevap verdi. uygulamaya engel olabilir.

Herkese teşekkürler

Bu eğlenceli bir tartışma bir sürü soru ve keyif vericiydi. Sonunda seçtiğim bir cevap hem korur parola güvenliği (vermeyeceğim sahip düz metin veya geri kazanılabilir şifreleri), fakat aynı zamanda olanaklı kılar kullanıcı tabanı ben belirtilen günlüğüne bir sistem olmadan önemli bir dezavantajları var buldum normal şifre kurtarma.

Her zaman olduğu gibi vardı farklı nedenlerden dolayı doğru belirtmek isterim, ama iyi bir seçim yapın gerisini ben yaklaşık 5 cevapları 1. Herkese teşekkürler!

Ayrıca, herkese bu soru/oy veren topluluk Yığını veya bir favori olarak işaretlenmiş. 100 isabet bir iltifat olarak oy ve bu tartışma vardı birisi aynı endişe ile başka yardımcı olmuştur umarım.

CEVAP

28 ŞUBAT 2010, Pazar

Nasıl bu sorun hakkında almaktan başka bir yaklaşım açısı ya? Neden şifre gerekli belgeler düz metin: bu yüzden bu kullanıcının parolasını almak, sonra kesinlikle konuşma yok gerçekten ihtiyacınız almak için parola ayarlayın (hatırlıyorlar mı ne oldu zaten), ihtiyacınız yapabilmek için onlara bir şifrekullanabilirsiniz.

Bunu bir düşün: eğer Kullanıcı şifre almak gerekiyorsa, bunu unuttular çünkü. Bu durumda yeni bir şifre eskisi kadar iyi değil. Ama, bir sakıncaları ortak parola sıfırlama mekanizmaları kullanılan bugün bu oluşturulan şifreleri üretilen bir sıfırlama işlemi genellikle bir sürü rastgele karakterler, bu yüzden onlar için zor kullanıcı için sadece yazın doğru sürece onlar kopyala-n-yapıştır. Bu daha az bilgili bilgisayar kullanıcıları için bir sorun olabilir.

Bu soruna geçici bir şekilde otomatik oluşturulan şifreleri daha fazla veya daha az doğal dil metin sağlamaktır. Doğal dil dizeleri olmayabilir entropi bir dize rastgele karakter aynı uzunlukta bir şey yok diyor otomatik olarak oluşturulmuş bir şifre ihtiyacı var sadece 8 ya da 10 veya 12) karakter. Birkaç rastgele kelimeler (hala ve okuma bilen herkes tarafından tanınan typeable onlar aralarında bir boşluk bırakarak) çekimi ile birlikte yüksek entropi tarafından oluşturulan otomatik bir şifre olsun. Farklı uzunluklarda altı rastgele kelime doğru ve 10 rasgele karakterden güven ile yazın daha kolay olur ve daha yüksek bir entropi de olabilir. Örneğin, 10 karakter bir şifre rastgele büyük harf, küçük harf, rakam ve 10 noktalama sembolleri çizilmiş (72 geçerli semboller toplam) entropi 61.7 bitlik bir entropi olurdu. Rastgele altı kelime bir şifre için seçilmiş olabilir hangi 7776 kelimeler sözlüğü (Diceware kullanır) kullanarak, parolayı 77.4 bitlik bir entropi olurdu. Daha fazla bilgi için Diceware FAQ bkz.

entropi hakkında 77 bit ile bir parola: "nesir Parlama tablo akut yetenek itiraf"
entropi hakkında 74 bit ile bir şifre: "K:&$R^tt~qkD"

Bu cümle yazmayı tercih ettim, ve Kopyala-n-yapıştır ile ifade az parola ya da kayıp yok yani kullanımı kolaydır. Elbette eğer bir web siteniz (ya da her neyse korunan varlık) gerek yok 77 bit entropi için otomatik olarak oluşturulan parola oluşturur ve bu da daha az sözcük (ki eminim kullanıcıların minnettar).

Bir parola ihlali dünyanın sonu değil bu yüzden şifre değeri çok yüksek düzeyde olmadığını varlıkları korunan, var olan tartışmaları anlıyorum. Örneğin, muhtemelen çeşitli web sitelerinde kullandığınız şifreleri �'i ihlal edildiyse, dert etmez: bütün olabilecek biri ya da bir süre için Benim adıma spam gönderme. Bu harika olmaz mıydı, ama banka hesabıma girmek olurdu gibi değil. Ancak, verilen aslında birçok kişi tarafından kullanılan aynı şifre için kendi web forum siteleri gibi onlar için onların banka hesapları (ve muhtemelen Ulusal Güvenlik veri tabanı), bence daha iyi olur idare bile bu 'düşük değerli' parola olarak düzeltilemez.

Bunu Paylaş: