Лучший способ обработки аутентификации учетной записи пользователя и паролей

Question

Каков наилучший способ управления учетными записями пользователей в системе, без наличия у ваших сотрудников, имеющих доступ к базе данных, доступа к учетным записям.

Примеры:

1. Запоминание имя пользователя/пароль в базе данных. Это плохая идея, потому что любой, у кого есть доступ к базе данных, может видеть имя пользователя и пароль. И, следовательно, используйте его.

2. Хранение имени пользователя/пароля. Это лучший метод, но к учетной записи можно получить доступ, заменив хеш-пароль в базе данных хэшем другой учетной записи, для которой вы знаете информацию об аутентификации. Затем после того, как доступ предоставляется обратно в базу данных.

Как это делает windows/* nix?

Answer 1

Это была общая проблема в UNIX много лет назад, и было разрешено путем разделения компонентов идентификации пользователя (имя пользователя, UID, оболочка, полное имя и т. д.) от компонентов аутентификации (хэш пароля, хэш-пароль пароля). Компоненты идентификации могут быть читаемыми на глобальном уровне (и на самом деле должны быть, если UID должны быть сопоставлены с именами пользователей), но компоненты аутентификации должны быть недоступными для пользователей. Для аутентификации пользователя используйте надежную систему, которая будет принимать имя пользователя и пароль и вернет простой результат «аутентифицирован» или «не аутентифицирован». Эта система должна быть единственным приложением, имеющим доступ к базе данных аутентификации, и должна дождаться случайного промежутка времени (возможно, от 0,1 до 3 секунд), прежде чем отвечать, чтобы избежать атак тайминга.

Answer 2

Вы можете сохранить соль для хэшированного пароля в другой таблице, конечно, каждый пользователь будет иметь свою соль. Затем вы можете ограничить доступ к этой таблице.

Answer 3

1. Очень плохая идея. Если база данных скомпрометирована, все учетные записи скомпрометированы.
2. Хороший способ пойти. Если ваш хэш-алгоритм включает имя пользователя, замена хэша пароля другим не будет работать.

Unix хранит хэши в текстовом файле/etc/shadow, который доступен только для привилегированных пользователей. Пароли зашифрованы солью.

Answer 4

Это лучший метод, но к учетной записи можно получить доступ, заменив хэш пароля в базе данных хэшем другой учетной записи, для которой вы знаете информацию об аутентификации.

На самом деле этого не существует. Любой, кто, как написание доступа к файлу пароля, имеет полный контроль над компьютером.

Answer 5

Вы можете использовать openID и не сохранять никаких конфиденциальных паролей пользователей вообще. Кто сказал, что это только для сайтов?

Answer 6

Я бы пошел с 2, но использую соль. Некоторые псевдокод:

SetPassword(user, password) 
    salt = RandomString() 
    hash = Hashfunction(salt+password) 
    StoreInDatabase(user, salt, hash) 

CheckPassword(user, password) 
    (salt, hash) = GetFromDatabase(user) 
    if Hashfunction(salt+password) == hash 
     return "Success" 
    else 
     return "Login Failed" 

Важно использовать хорошо известный хеш-функции (например, MD5 или SHA-1), реализованный в библиотеке. Не катитесь самостоятельно или не пытайтесь реализовать его из книги, ее просто не стоит рисковать, чтобы это было неправильно.

@Brian R. Bondy: Причина, по которой вы используете соль, заключается в том, чтобы сделать словарный словарь более сложным, злоумышленник не может хешировать словарь и попробовать все пароли, вместо этого она должна взять соль + словарь и хэш , что позволяет ускорить процесс хранения. Если у вас есть словарь из 1000 наиболее часовых паролей и хэш их вам нужно что-то вроде 16 кБ, но если вы добавите две случайные буквы, вы получите 62 * 62 * 16 кБ ≈ 62 Мб.

Иначе вы могли бы использовать какой-то One-time passwords Я слышал хорошие вещи о OTPW, но havent использовал его.

Answer 7

Обычный подход заключается в использовании второй вариант с электронной почтой:

магазина имени пользователя, хэш пароля и адреса электронной почты в базу данных.

Пользователи могут вводить свой пароль или перезагружать его, в последнем случае генерируется случайный пароль, для пользователя создается новый хеш, и пароль отправляется ему по электронной почте.

Редактировать: Если база данных скомпрометирована, вы можете гарантировать только то, что разумная информация не доступна, вы больше не можете обеспечить безопасность своего приложения.

Answer 8

Хешируйте имя пользователя и пароль вместе. Таким образом, если у двух пользователей одинаковый пароль, хеши будут по-прежнему отличаться.

Answer 9

Jeff Atwood имеет некоторые хорошие сообщения относительно хэширования, если вы решили идти по этому пути:

• Rainbow Hash Cracking
• You're Probably Storing Passwords Incorrectly

Answer 10

Это не проблема для многих приложений, потому что получение доступа к базе данных, вероятно, является наиболее распространенной целью любого злоумышленника. Поэтому, если они уже имеют доступ к базе данных, почему они все еще хотят войти в приложение? :)

Answer 11

Если «система» является общедоступный веб-сайт RPX может предоставить вам услуги счета Логин/пользователя для наиболее распространенных провайдеров, как OpenId, Facebook, Google и т.д.

Теперь, учитывая то, как вы формулируете свой вопрос. Я думаю, что «система», о которой вы говорите, скорее всего представляет собой внутреннее приложение на базе Windows/Linux. тем не менее, для тех, кто занимается поиском пользователей/пользователей (например, я сделал это до того, как столкнулся с RPX), это может быть хорошо подходит :)