問題タブ [password-storage]

PHP のドキュメントによると、bcrypt ソルトは

「$2a$」、2 桁のコスト パラメータ、「$」、およびアルファベット 22 桁の「./0-9A-Za-z」

したがって、crypt() 関数を使用してパスワードをハッシュすると、結果の出力にはソルトの一部として最初の 7 文字 (コスト パラメーターが 10 の場合は $2a$10$) が含まれます。インターネット全体で見つけることができた場合、この完全な出力が db に書き込まれます。

これらの最初の文字を残りのソルトと暗号化されたデータと共に保存することに何の意味があるのか​​ 疑問に思っています。それらの意味は私には完全に明らかですが、なぜそのような情報が残りのハッシュと一緒に書かれなければならないのか本当に理解できません. それらは、アルゴリズムと計算の適応コストに関する「単なる」情報ではありませんか? では、このようなアプリケーション関連の情報を保存する利点は何でしょうか? そして (幼稚に聞こえるかもしれませんが) なぜ最終的に私のデータベースを盗む攻撃者にそれらを開示するのでしょうか?

ユーザーを認証するためのより安全な方法の 1 つは、パスワードをハッシュするときにワンタイム ソルトを使用することです。私が得られないものは次のとおりです。

クライアントがセッションごとに新しいソルトを生成する場合、結果のソルト + パスワード ハッシュはセッションごとに異なりませんか? その場合、サーバーは送信されたパスワードと保存されているパスワードをどのように比較できますか? サーバーが異なるハッシュを比較して、同じパスワードが使用されたことを識別できる方法はありますか?

(免責事項: 私は車輪の再発明/ログイン プロトコルの作成を試みているわけではありません (私は知っています: SSL/TLS を使用します)。ログイン プロトコルの高レベルの機能に興味があるだけです)

これを入力するように求める Web サイト、特に銀行サイトを見たことがあります (たとえば)。電話で私の身元を証明するために、これを要求されることがあります。

• パスワードの 2 文字目
• パスワードの 5 文字目
• パスワードの 6 文字目

これを行うには、ハッシュ アルゴリズムは機能しませんね。銀行と同じくらい安全であるべき何かが、解読不可能なパスワードを保存する方法を持っているでしょうか?

ユーザーがパスワードを入力したときにそのコンテンツにアクセスできるAndroidアプリケーションを開発しています。データベースを含めたくありません。アプリケーションがユーザーの新しいパスワードを作成できるようにし、ユーザーが古いパスワードを新しいパスワードに変更できるようにしたいだけです。

2つのクラスと1つのxmlを作成しました。しかし、私が今欲しいのは、ユーザーが古いパスワードを変更できるように、EdittextPreferenceが通常の1ではなく3つのedittextをポップアップするようにすることです。これまでのコードを参照してください

my.preferencesをパッケージ化します。

android.os.Bundleをインポートします。import android.preference.PreferenceActivity;

パブリッククラスSetPrefsはPreferenceActivity{を拡張します

}

ユーザーがシステムによって承認されたときにワークフローがあります。ユーザー名とパスワードとして彼のログイン資格情報を取得します。ユーザー名とパスワードが承認されたら、ユーザーにメールで送信したいと思います。データベースからユーザーパスワードを取得する方法がわかりません。WordPressに既存の機能がありますか？

パスワードをハッシュするには (一方向)、bcrypt が最適のようです。

jBCryptを使い始めようとしていますが、いくつか心配があります。

• メーリングリストはありません。
• 全体的に非常に低い活動。
• バグ トラッカーには 1 つの問題しかありませんでした。この 1 つの問題には活動の兆候はありません。
• これまでにリリースされたバージョンは 3 つだけです。
• jBCrypt は、スレッドセーフであると主張していません。ほとんどの人はソース コードがスレッドセーフに見えることに同意しているように見えますが、公式 Web サイトに明確な記述がある方がはるかに優れています。

誰もが使用していて、どういうわけか見逃した、より主流の同様のライブラリはありますか? (Java、オープン ソース)
それとも、実際に「最も主流」のものですか?

ユーザー名とパスワードをWindowsPhoneアプリケーションに保存するための標準があるかどうかを尋ねたいと思います。私は、呼び出されるすべてのリクエストでユーザーを検証するプロジェクトに取り組んでいます。そこで、ユーザー名とパスワードを保存したいと思います。たぶん彼らに「私を覚えている」可能性を与えるかもしれないので、それを行うための基準がない場合、私はそれを自分で書く必要がありますが、Microsoftには組み込みのものがあると思います。

私の理解が正しければ、電子メールでパスワードを送信する際の最大の問題は、パスワードをデータベースに平文で保存する必要があることです。DB が侵害された場合、攻撃者はすべてのアカウントにアクセスできます。

この問題の回避策はありますか?

ユーザーにパスワードを電子メールで送信する方法を、できるだけ安全にするにはどうすればよいでしょうか?

私には、何年もの間私を悩ませてきたシナリオがあります。ユーザー名とパスワードを使用してデータベースまたはその他のサービス (Web サービスなど) に接続する必要がある場合、.NET アセンブリを介して接続している場合、この情報を保存する最も安全な場所はどこでしょうか? パスワードを暗号化する必要があることは理解していますが、暗号化することはできますが、鍵はどこに置くのでしょうか?

.NET では、.NET コードを逆コンパイルできるため、パスワードをハードコードすることはできません。

分離ストレージでアセンブリ ベースの権限を使用することを検討しましたが、特権ユーザーがアクセスできるため、暗号化されていない秘密のアイテムをそこに保存しないことを MS は推奨しています。そのため、問題をポイント A からポイント B に移しています。たとえば、ドメイン管理者ドメイン上の任意のワークステーションの管理者になることができるため、データベース内の情報を知る必要なくアクセスできます。

アプリを暗号化できます。Config と Web.Config ですが、特権ユーザーはキーにアクセスできると思います。

DPAPI でも同じ問題が発生すると思います。

パスワードをリモート データベースに暗号化して保存し、OS 認証を介して取得することも検討しましたが、部門はパスワードをデータベース サーバーに保存することを禁止しています。私は立ち往生していて、確認が必要だと確信しています。

Web サーバーに zencart をセットアップしましたが、zencart に関連付けられた sql データベースで管理機能のパスワードが暗号化 (または何らかの方法で難読化) されています。この暗号化の範囲を教えてもらえますか? データベースを手に入れた誰かがデータベースのパスワードセクションのデータにアクセスできるかどうか、またはデータのその特定の部分が暗号化によって公開されないように保護されるかどうかを知りたい.

暗号化されている場合、どのように暗号化され、どれくらい簡単に復号化できますか?

デフォルトの禅カートのセットアップです。

敬具