Мне нужно предотвратить повторное использование хэша пароля другим пользователем, например, , если пользователь может создать свой хэш (зная пароль проклятия) , если он получил доступ к базе данных и заменить чей-то хэш с его, он сможет войти в систему как этот пользователь Мне было интересно, если добавление идентификатора пользователя в хеш будет хорошей практикой, если нет, что еще я могу сделать? спасибо.Как предотвратить повторное использование хэша паролей другим пользователем
ответ
Если кто-то может заменить учетные данные в вашей базе данных, , и если это единственное, что определяет доступ к вашей системе, то да, пользователь может заставить вашу систему принять любой пароль, который он выбирает.
Это одна из важных причин, почему многие системы производства ... используются внутри компании ... и многих из задней стороны «сантехнический» слои общественных обращенных систем ... делать не паролей использования любого типа для проверки подлинности или авторизации. Вместо этого они используют методы «доверенного стороннего источника», такие как LDAP (OpenDirectory) или Kerberos. В любом случае никто не «шепчет волшебным словам друг другу».
В этом случае, как «проверка подлинности» (проверка кто запрашивающий пользователь на самом деле), и «разрешение» (установление того, что он может сделать) являются не обрабатываются логикой внутри самих систем: эти задачи делегированы централизованно управляемый корпоративный орган. Существует концепция «единого входа». Нет никаких «паролей» для кражи. Даже если система требует от пользователя ответа на личную задачу, например, для ввода пароля часть процедура, центральный орган (программный уровень) управляет всем: обеспечивает вызов, интерпретирует ответ, зная, что правильный ответ был своевременно дан и т. д.
Это надежные технологии с проверенными экспертами, надежными реализациями, которые также являются межплатформенными и отраслевыми стандартами. Они очень полные. Когда вы «садитесь за свой значок», чтобы попасть в ваше здание каждое утро, они, вероятно, действительно открывают дверь. К ним может быть обращен PHP, и/или какой-либо веб-серверной службой работает ваше приложение PHP.
- 1. Реализация хэша паролей
- 2. Несколько Хэша паролей
- 3. Защита паролей с помощью хэша
- 4. Как предотвратить сохранение паролей?
- 5. Как предотвратить повторное использование Datagrid itemRenderers?
- 6. Как предотвратить повторное использование клеток uicollectionview
- 7. PHP - Предотвратить использование пользователем обратно
- 8. Как использовать jBCrypt для сравнения хэша паролей?
- 9. История паролей, чтобы предотвратить повторный ввод одинаковых паролей
- 10. Как предотвратить процесс Kill() другим?
- 11. Использование SSH через PHP с другим пользователем
- 12. Использование Redemption для отправки другим пользователем
- 13. Предотвратить использование пользователем функций встроенной сортировки Excel
- 14. Лучший способ предотвратить использование пользователем данных
- 15. Предотвратить использование пользователем ключа в Eclipse
- 16. Хранение хэша паролей SHA512 в базе данных
- 17. Обновление хэша паролей от md5 до bcrypt
- 18. Предотвратить использование моей версии JQuery другим ISV
- 19. Проверка хэша паролей OpenCart в ruby
- 20. Как предотвратить повторное использование нового фрагмента снова и снова?
- 21. Как предотвратить повторное использование меню в функции переключателя?
- 22. Как предотвратить повторное использование viewpager в элементе listview
- 23. Javascript: Как предотвратить повторное использование строки для нескольких запросов?
- 24. Как предотвратить повторное использование этой части кода 10 раз?
- 25. Как предотвратить повторное использование авторизации после выхода из системы
- 26. C# Process.Start, как предотвратить повторное использование существующего приложения?
- 27. Как предотвратить повторное использование CellTable RowElement после срабатывания SelectionChangehander?
- 28. Как предотвратить повторное использование jsp-тегов после загрузки класса
- 29. Какой алгоритм хэша наиболее безопасен для паролей?
- 30. предотвратить повторное заполнение viewdata
Если у хакера есть доступ к базе данных, он также имеет доступ к идентификатору, поэтому его нет. – Shubanker
Что значит использовать тот же хеш? –
[Не ограничивайте пароли] (http://jayblanchard.net/security_fail_passwords.html) и [используйте правильные методы для хэш-паролей с PHP] (http://jayblanchard.net/proper_password_hashing_with_PHP.html). –