問題タブ [passwords]

Webサイトに一時的なトランザクションパスワード機能を実装するためのベストプラクティスは何ですか？

たとえば、次のような銀行/金融のシナリオでは、-あるアカウントから別のアカウントに資金を転送する場合、トランザクションパスワードが必要です-取引を行う場合、トランザクションパスワードが必要です-など。

パスワードは一時的で時間ベースである必要があります。つまり、このパスワードはx分が経過すると機能しなくなります。

どのアルゴリズムをお勧めしますか？使用済みパスワードを追跡することをお勧めしますか。つまり、使用済みパスワードを一部のストアに保存しますか？

一部のWebサイトはOneTimePasswordデバイスを使用しています。これとは別に、適切と思われる他の戦略を強調してください。

他の考え/提案/アルゴリズムは大歓迎です。

編集：「lassevk」からの質問に基づく

1. パスワードは電子メール/電話/SMSで通知されます。
2. 関係するサードサイトはありません。

アプリケーションの重要なポイントのセキュリティをさらに強化するために、これが必要です。これは「AuthenticationCode」と呼ばれることもあります。

Web ブラウザーがローカル システムに可逆暗号化でパスワードを安全に保存するために使用するプラットフォーム固有の API は何ですか?

Web サイトに渡すには正確な文字を再現できなければならないため、データを一方向ハッシュにすることはできません。私の最初の考えでは、現在の認証データを利用して暗号化/復号化を実行するが、アプリケーションにアクセスしてそれ (システム ログイン データ) を直接読み取ることはできないシステム メソッドがあると考えています。これらがさまざまなプラットフォーム (Windows、Linux、OS X) でどのようなものであり、ハード ドライブに直接アクセスした場合にどの程度情報を保護するのか疑問に思っています。つまり、盗まれたラップトップのハード ドライブが別のコンピュータに挿入されるか、Live CD を介して分析されます。

MembershipUser.ResetPassword() の呼び出しによって自動的に生成されるパスワードの形式を制御することはできますか?

生成されたパスワードで特定の特殊文字を許可または禁止できるようにしたいと考えています。

パスワード形式が Hashed の SqlMembershipProvider を使用しています。

ありがとう。

6 文字の長さで、数字が 1 つ必要で、「煩わしい」と韻を踏まなければならないパスワードを要求するさまざまな Web サイトに遭遇したことはありませんか。

明らかに、これが必要な場合もあれば、すべてセキュリティのためである場合もあるレガシーな理由があります。私が持っている標準的なパスワードのセットは、これらの固有のルールと一致しないことが多いため、新しいパスワードを作成して覚えなければならないため、かなり面倒です。

ユーザーのパスワードがどれだけ複雑かを気にしているのであれば、セキュリティの観点からもっと重要なことがあるようです。誰かが実際にそのパスワードを手に入れることができた場合、明らかにより大きな問題を心配する必要があります. ユーザーが自分のセキュリティについて心配することに頼る前に、自分の役割を果たし、システムの最後をロックダウンしてください。

私の実際の質問は次のとおりです。これらの複雑なパスワード ルールに代わるものとして、ユーザーが複雑なことを覚えるという重荷を負わずに、レインボー テーブルやブルート フォース ハッシュ リバーサーのリスクを軽減する方法はありますか?

いくつかのアイデア：塩漬け、...

相互にリンクされた一連の Web ページがあり、ユーザーにログインとパスワードの入力を求めることで、これらのページへのアクセスを制限したいと考えています。しかし、私のホスティング アカウントは現在、サーバー サイド スクリプトの機能を提供していません。クライアント サイド スクリプトのみを使用してこの目的を達成する方法はありますか?

次のプログラムがどのように機能するのか疑問に思っていました-

http://www.myzips.com/software/HTML-Password.phtml

明確化: ご意見ありがとうございます。ただし、Web サーバーを構成している場合、ユーザーがユーザー名とパスワードを入力する可能性はありますか?

C++ で強力なパスワードを作成したいと考えています。助言がありますか？

• アルファベット（大文字と小文字）、数字、特殊文字を使用する必要があると思います。

• 最小の長さを指定できるとよいでしょう。

• 「お」や「お」など、視覚的に判別しにくい文字は避けた方が良いでしょう。

• すべての同じ文字、辞書の単語、反転した単語、名前を無効にすることは素晴らしいことです。

他のヒントはありますか？このようなコードはどこにありますか?

ユーザーパスワードを保存するために使用される OS X キーチェーンに相当するものは Windows にありますか? 私の（デスクトップ）ソフトウェアが使用するWebサービスのユーザーのパスワードを保存するために使用します。

この関連する質問 (デスクトップ アプリケーションでユーザー パスワードを保護する (Rev 2) ) に対する回答と、利用可能な多数のサード パーティのパスワード ストレージ ツールから、そのようなものは存在しないと思います。 Web サービスにアクセスするたびにパスワードを保存するのか、それとも難読化して保存するのか?

私はC＃を使用しており、プロパティグリッドコントロールを含むWindowsフォームがあります。

propertygridのSelectedObjectを設定ファイルに割り当てました。このファイルには、設定が表示され、編集できます。ただし、設定の1つはパスワードです。パスワード設定のプレーンテキスト値ではなく、フィールドにアスタリスクを表示したいと思います。

このフィールドは保存時に暗号化されますが、ユーザーがパスワードを入力するときにアスタリスクが表示される通常のパスワード入力ボックスのように動作させたいと思います。

設定プロパティに適用してパスワードとしてマークできる属性があるかどうか疑問に思っていますか？

ありがとう。

標準の ASP.NET 認証プロバイダー (たまたま AspNetSqlMembershipProvider) を使用しており、デフォルトのパスワード強度要件は、私たちのニーズに対して少し過剰です。

ユーザーは、少なくとも英数字のパスワードを入力する必要があります (つまり、ユーザーが希望する場合は、文字と少なくとも 1 つの数字が必須で、大文字と小文字が混在し、英数字以外の文字も使用できます)。

これを実現する PasswordStrengthRegularExpression の設定を誰でも提案できますか?

また、ユーザーが使用しようとしたパスワードが正規表現のチェックに失敗した場合に、ユーザーに表示されるエラー メッセージをどのように制御できますか?

ノート

minRequiredNonalphanumericCharactersプロパティを に設定する必要があることが判明しました0。それ以外の場合、この設定は使用される正規表現をオーバーライドします

パスワードを入力として受け取り、UNIX で「su」(ユーザーの切り替え) コマンドを実行するためにシェルを実行するプログラムがあります。しかし、パスワード変数を UNIX の su コマンドに渡す方法がわかりません。これに使用しなければならない言語はかなり限られています (UniBasic)。

何か案は？