重複の可能性:
データベース内の平文パスワードの暗号化/ハッシュ化
最近、主要な Web ホスティング会社がユーザーのパスワードを平文で保存し、身元を確認する際にユーザーのパスワードの下 4 桁を要求することさえあることを発見しました。これは非常に間違っており、セキュリティ上の問題に満ちているようです。これを行う理由は、単にユーザーの識別を支援するためだと思います。
#1について-正しい方法は、パスワードをまったく保存しないことです。代わりに、パスワードのソルト ハッシュを保存します。
パスワードを要求せずにユーザーを安全に識別することに関しては、これは少し扱いにくい問題です。本質的にそれらを識別するために使用する可能性のあるものはすべて、別のパスワードになります (最初のパスワードと同じストレージの問題があります)。実際には、ほとんどのサービスは、他の個人情報 (soc の下 4 桁) を使用します。秒 番号、母親の旧姓、または「秘密の質問」。ただし、これらはすべて、適切なパスワードよりも安全性が低いことはほぼ確実です。
1a) ユーザーのパスワードを保存せず、(ソルト化された) ハッシュのみを保存します。ユーザーがログインすると、提供されたパスワードをハッシュし、アーカイブされたハッシュと比較します。ユーザーの実際のパスワードがわからない場合、そのセキュリティを危険にさらすことはできません。
1b) 電話でユーザーを安全に識別することは困難であり、アカウントへの不正アクセスが「危険」であるかどうかによって、どの程度の労力が必要になるかが決まります。私の銀行口座では、自宅、職場、または携帯電話の番号から電話する必要があります (これらは事前に記載してあります)。発信者に、ファイルにあるランダムに選択されたアカウント情報 (アカウント番号、請求先の郵便番号、ミドルネームのイニシャル、生年月日、クレジット カード番号の 7 桁目など) を確認するように依頼できます。一部の電話ベースのシステムには、通常のパスワード/PIN とは異なるユーザーごとの PIN 番号があります。ワンタイム パスコードを携帯電話にテキスト メッセージで送信し、制限時間内にシステムに入力するよう要求できます。私が使用しているより安全なシステムの 1 つワンタイム パスコードを生成するVerisign の VIP Mobileアプリ。(もちろん、誰かがあなたの携帯電話を盗んだとしても、それはあまり役に立ちません)
2) 情報が公開されているとは思えません。ユーザー アカウント情報を安全に保管していない企業のリストがあれば、それは「私をハックしてください」リストとしても機能し、それらの企業は侵入の試みによって非難されることになります。
通常、パスワードをまったく保存したくありません。ソルト化されたパスワードのハッシュを保存します。彼らがあなたにログインしたいときは、彼らがパスワードとして提供するものをソルトしてハッシュし、その結果を保存されているハッシュと比較します。
質問の最初の部分に対処する: パスワードをまったく保存しないでください。パスワードのハッシュをソルト化して保存します。
電話で彼らを認識するために、まず電話番号を事前に確認してから、それを彼らが定義できる秘密の質問と組み合わせて使用する.
残念ながら、多くのホストはパスワードを安全に保管していません。その点で優れたホストについてコメントするのに十分な経験がありません.