1. дома
  2. Вопрос и ответ
  3. Как выставить пользовательские пароли наиболее безопасным способом в django?

Как выставить пользовательские пароли наиболее безопасным способом в django?

2016-10-19 1 views
1

Я работаю над проектом Django 1.9, и мне было предложено разрешить некоторым пользователям печатать страницу со списком пользователей и их паролей. Конечно, пароли зашифрованы, и нет никаких готовых способов сделать это. Я знаю, что это будет означать нарушение безопасности, поэтому мой вопрос противоречив, но есть ли логичный способ сделать это, что не означает огромного нарушения безопасности в программном обеспечении?Как выставить пользовательские пароли наиболее безопасным способом в django?

источник

2016-10-19 Cruclax

+0

Если вам нужна дополнительная информация, попробуйте это здесь: http://security.stackexchange.com/ У них есть какой-то вопрос уже по вашей теме, возможно, дать ему прочитать? Короче говоря, нет, вы никогда не сможете напечатать установленный пользователем пароль. Если это пароль по умолчанию, который не будет проблемой, как стандартный день рождения + номер идентификатора. wim покрывает остальное, что я хочу сказать. – MooingRawr

+0

Вы не должны. этот запрос не имеет смысла, и он должен быть незаконным. –

ответ

3

Нет, логического способа сделать это не существует, что не означает огромного нарушения безопасности в программном обеспечении.

Если пароли сохранены правильно (соленые и хэшированные), то даже администраторы сайта с неограниченным доступом в базе данных не могут сказать вам, что пароли в текстовом виде.

Вы должны отказаться от этого необоснованного запроса. Если у вас есть действующая функция сброса пароля, никто, кроме пользователя, никогда не должен знать пароль пользователя. Если у вас нет надежной функции «сброса пароля», попробуйте и начните разворот и усилия по развитию в этом направлении. Редко требуется какая-либо реальная потребность в бизнесе для знания/печати паролей пользователей, и такие запросы функций могут поступать от нетехнических людей, у которых есть недопонимание (или отсутствие понимания) о деталях реализации аутентификации и авторизации.

источник

2016-10-19 15:56:51 wim

+0

Просто использовать хеш-функцию недостаточно, и просто добавление соли делает мало для улучшения безопасности. Вместо этого перейдите по HMAC со случайной солью в течение приблизительно 100 мс и сохраните соль с хешем. Используйте такие функции, как 'PBKDF2',' password_hash', 'Bcrypt' и аналогичные функции. Дело в том, чтобы заставить злоумышленника потратить много времени на поиск паролей грубой силой. – zaph

Смежные вопросы

 Смежные вопросы