問題タブ [password-encryption]

プロパティ（httpOnlyおよびsecure = true）を使用してサーバーにCookieeを設定する場合、それはサーバーとクライアント間の通信中にのみ保護され、その後は保護されないことを意味しますか？言い換えると、値が元々plainTextであった場合、それはクライアント側でもplainTextとともに保存されますか（httpsで移動した後）、安全ではない/脆弱になりますか？

1）パスワードは送信前に常に暗号化する必要がありますか（httpsを使用している場合でも）？

2）httpCookiee（secure = true）はどこに保存されますか？このストレージアクセスは保護されていますか？

皆さんに簡単な質問があります：

私は PHP をいじっています (私は比較的経験が浅いです)、自分のサイトで使用する安全なパスワード ハッシュ システムの開発に興味があります。crypt()SO に関する他の記事や質問を通じて、BSD のbcryptハッシュ アルゴリズムの実装にはPHP の関数を使用する必要があると推測しました。

あなたへの私の質問は、関数に初期化ベクトルまたはパスワードを入力すると、base64 ではない入力がハッシュとして「0」を返すように見えるという事実に関するものです。この問題を回避するために私が実装したものは次のとおりです。

と

このようにエンコーディングを変更すると、衝突やセキュリティの低下の危険性はありますか?

私の考えは、ハッシュ関数が空のハッシュを返すことを心配することなく、ユーザーがパスワードに任意の範囲の文字を使用できるようにしたいということでした (適切なパスワード ポリシーを適用します)。

これを行うためのよりシンプルまたはエレガントな方法はありますか? おそらく、ソルトとパスワードをあまり制限しないハッシュ関数を使用する必要がありますか?

あなたが私に与えることができる助けを前もって感謝します。

サーバーのデータベースにいくつかのパスワードを保存したいと考えています。

パスワードを必要とするサードパーティの API にパスワードを使用したいので、パスワードは回復可能である必要があります。(そのため、md5 のような一方向のメソッドは使用できません...)

データベースにパスワードを保存する最良の方法は何ですか? プレーンテキストを保存するよりも良い方法はありませんか?

こんにちは、サードパーティが取得したパスワードの値を割り当てている xml が 1 つあります。その中に仮面をつけたい。そのパスワードを隠したい。コードはphpです。php でパスワードをマスクすることは可能ですか?

I am implementing ASP.NET Membership, using default SQL Provider, default web.config settings.

I notice that passwords are hashed. But I don't know how asp.net hash my passwords, so I am not sure whether it is possible for a hacker to decrypt this?

If asp.net use the same rule to hash password, which everyone knows. than a hacker can easily crack it.

for example. If asp.net use MD5(123456), which result is "E10ADC3949BA59ABBE56E057F20F883E", then a hacker may have a MD5 Dictionary to look up this.

My settings is:

-- SQL Statement:

-- The result is:

The password is 123456, it become "tpeiwPt5+kFbcocQZOuc4aoHeuI=".

Is this value always the same on different machines or different apps?

If this value has something to do with the salt "PVq9dPtbFxze9Erbfd7HrA==", is it possible for hackers to use this salt to decrypt my password?

RailsInstaller (v2.1.0) を使用して Windows7 に Rails をインストールしました。元のレールは v3.2.1 であることがわかりました。その後、私は「宝石をインストールしまくる」。インストールにより、レールが v3.2.7 にアップグレードされるようです。昨日までは 3.2.6 だったので、それについて言及しました。Rails 3.2.6 ではすべてがうまくいきますが、Rails 3.2.7 アプリを「インストールしまくる」と、デフォルト ストアのカートにアクセスできませんでした。そして、次のようなエラーを取得します。

データベースを確認すると、「password_salt」はなく、spree_users テーブルには「salt」しかありません。

この問題に遭遇した人は他にいますか？私はこの問題にほぼ半日を費やしました。スプリー パスで何かを見逃していませんか?

どうもありがとう。

ここ英国のテスコでのオンライン食料品の買い物のユーザーアカウントには、6〜10文字のパスワードが必要です。パスワードが10文字に制限されていることに少しイライラしますが（私のパスワードジェネレーターのデフォルトは32文字です）、クレジットカードの詳細を含むユーザーデータを保護するために6文字のパスワードを許可しているという事実が気になります。

6文字のパスワードはセキュリティリスクを表していますか、それとも従うべき良い例ですか？

ユーザー名とパスワードの両方をハッシュすると、セキュリティ上の利点が得られますか? 私はこのスキームを意味しました：

1.ユーザーがメールアドレスを
入力 2.ハッシュ(メール)アドレス
を計算 3.ユーザーがパスワードを入力 ハッシュ(パスワード)を計算 .
4.値を照合して、ログインの成功または失敗を示します。

これにより、クラックされたハッシュを対応するユーザーに一致させることが少し難しくなります。

これがすでに使用されているのか、それとも私が考えたことのない何らかの理由でこのアイデアが実用的でないのかはわかりません。検索しても出てこなかったのでこちらで質問させていただきました。

パスワードのセキュリティは、多くの人にとって懸念事項です。

パスワードハッシュに bcrypt を使用していることと、その仕組みを説明する「パスワードセキュリティについて学ぶ」リンクを含めたいと思います。

この情報を公開すると、セキュリティ上の懸念が生じたり、システムの安全性が低下したりすることはありますか?

PHP で IMAP アカウント用の電子メール クライアントを開発しています。アカウントのパスワードを保存し、後でメールをチェックするためにパスワードを取得できる最も安全な方法はどれですか?

何らかの方法で暗号化する必要があると思います。ただし、自分のアプリだけが暗号化を解除できるようにするにはどうすればよいですか?