Lithiumの「cookie」セッションアダプタを使用したいのですが。ユーザーがログインした後、ハッシュされたパスワードを使用してCookieを作成します。このCookieが存在し、ハッシュされたパスワードがデータベースのCookieと一致する場合は、自動的にログインします。
これは安全ですか?
わかりました、私はクッキーに実際のハッシュを持っていることについて話しているのではなく、暗号化されたハッシュについて話しているのです。そのハッシュがどのように見えるかを誰にも知られたくない:)Lithiumには、セッションに保存するデータを「秘密」で暗号化する「戦略」があるため、ハッシュは暗号化されます。基本的に、私はリチウムの暗号化で十分かどうかを尋ねています。誰かがリチウムで働いたことがありますか?
ハッシュ化されたアルゴリズムによって異なります。ソルトを使用してハッシュをより安全にします:
安全なパスワードハッシュと
パスワードのハッシュは事実上、パスワードと同じであることを忘れないでください。ハッシュを盗んだ人は、パスワードを盗んだ場合と同じようにユーザーのアカウントにアクセスできます。したがって、認証(2要素認証)に使用されるCookieに保存されていない他の情報がない限り、ユーザーのパスワードのハッシュをCookieに保存することはお勧めできません。この回答のGabe。
また、これらのリンクをチェックアウトすることもできます。
ハッシュ化されたパスワードをCookieに保存することをお勧めしますか?
PHPパスワードの安全なハッシュとソルト
ハッシュ化されたパスワードと彼のユーザーIDまたはユーザー名の組み合わせである場合のみ。パスワードだけでも複数回存在する可能性があるため、一意ではありません。ユーザー名またはIDは(通常)一意です。
いいえ。これは間違いなく安全ではありません。ハッシュ化されたパスワードをCookieに保存すると、そのハッシュ化されたパスワードは基本的にユーザーのパスワードと同じになります。他の誰かが何らかの方法でそのCookieを取得した場合、そのCookieを自分のブラウザに設定し、他の誰かとして認証される可能性があります。
LithiumのEncrypt戦略ではbcryptを使用していますが、これは実際にはほとんど最高のものです(scryptを除いては大丈夫ですが、PHPが同梱されたらお知らせください。意見を変更します)。
いずれにせよ、他の人が言っているように、パスワードのハッシュを送信している場合は、パスワード自体を送信している可能性があるため、暗号化の強度は関係ありません。あなたがこれをやりたいと思う理由は思いつかない。
パスワードの保存方法(暗号化されているかどうかに関係なく)に関係なく、誰かがパスワードを取得した場合、誰かが他人としてあなたのサイトにアクセスする可能性が高くなります。