私は現在、Android、iOS、およびWebで動作する非常に単純なPHPベースのログインシステムを持っていますが、もう少しセキュリティの高いものを使用したいと思います。現在の設定では、ユーザー名とパスワードをmd5形式で渡すだけで、DBに対して認証できます。
人々が使用を推奨するフレームワークはありますか?PHPを使用したoAuthとHMACについて聞いたことがありますが、これらが必要なものに対して過剰であるかどうかはわかりません。
何かご意見は?
質問する
266 次
1 に答える
2
まず第一に、MD5 はもはや安全とは見なされていません。最新のハードウェアでは、総当たり攻撃が簡単すぎます。
第 2 に、MD5 をネットワーク経由で送信し、それがデータベースにある場合、パスワードの MD5 をパスワードとして効果的に使用していることになります。これは、暗号化されていないパスワードをネットワーク経由で送信していることを意味します。考えてみてください。攻撃者が侵入したい場合は、MD5 をキャプチャして送り返すだけで済みます。これでは、実際のセキュリティは得られません。
SSL 経由で平文のユーザー名とパスワードを送信するだけです。それを、秘密鍵がマージされたサーバー側の安全なハッシュ (最近では bcrypt が主流と考えられています) と比較してください。これにより、DB が危険にさらされた場合のリスクが制限されます。
于 2013-02-27T18:25:36.653 に答える