คำถามติดแท็ก password-protection

ทุกครั้งที่ฉันได้ยินคำแนะนำ "ใช้ bcrypt สำหรับเก็บรหัสผ่านใน PHP, กฎ bcrypt" แต่สิ่งที่เป็นbcrypt? PHP ไม่มีฟังก์ชั่นดังกล่าว Wikipedia พูดพล่ามเกี่ยวกับยูทิลิตี้การเข้ารหัสไฟล์และการค้นหาเว็บเพียงแค่แสดงการใช้งานบางอย่างของBlowfishในภาษาต่างๆ ตอนนี้ Blowfish ยังมีอยู่ใน PHP ผ่านmcryptแต่วิธีที่ช่วยในการจัดเก็บรหัสผ่าน? ปักเป้าเป็นเลขศูนย์วัตถุประสงค์ทั่วไปมันทำงานได้สองวิธี หากสามารถเข้ารหัสได้ก็สามารถถอดรหัสได้ รหัสผ่านต้องใช้ฟังก์ชันแฮชแบบทางเดียว คำอธิบายคืออะไร

1255 php  passwords  cryptography  password-protection  bcrypt 

เป็นสิ่งที่ถูกต้องวิธีที่จะออกจากระบบ HTTP โฟลเดอร์ที่มีการป้องกันการตรวจสอบ? มีวิธีแก้ไขเฉพาะหน้าที่สามารถทำสิ่งนี้ได้ แต่สิ่งเหล่านี้อาจเป็นอันตรายได้เนื่องจากสามารถใช้บั๊กหรือไม่ทำงานในบางสถานการณ์ / เบราว์เซอร์ นั่นคือเหตุผลที่ฉันกำลังมองหาวิธีที่ถูกต้องและสะอาด

151 php  authentication  .htaccess  http-headers  password-protection 

ฉันเพิ่งเรียนรู้ที่จะใช้ SQLite และฉันอยากรู้ว่าเป็นไปได้หรือไม่: การเข้ารหัสไฟล์ฐานข้อมูล? รหัสผ่านป้องกันการเปิดฐานข้อมูล? ปล. ฉันรู้ว่ามี "SQLite Encryption Extension (SEE)" แต่ตามเอกสาร "SEE เป็นซอฟต์แวร์ที่ได้รับอนุญาต .... " และ "ค่าใช้จ่ายของใบอนุญาตซอร์สโค้ดแบบถาวรสำหรับ SEE คือ 2,000 ดอลลาร์สหรัฐ"

141 encryption  sqlite  password-protection 

เป็นไปได้หรือไม่ที่จะปิดใช้งานรหัสผ่านหน่วยเก็บข้อมูลที่ปลอดภัยของ Eclipse โดยสมบูรณ์? ฉันใช้งาน Eclipse Helios บน Windows 7

108 eclipse  password-protection 

ฉันใช้รหัสผ่านป้องกันทั้งเว็บไซต์ของ.htaccessฉัน แต่ฉันต้องการเปิดเผยหนึ่งในไดเรกทอรีย่อยเพื่อให้สามารถดูได้โดยไม่ต้องใช้รหัสผ่าน ฉันจะปิดใช้งานการป้องกันรหัสผ่าน htaccess สำหรับไดเรกทอรีย่อยได้อย่างไร .htaccessไวยากรณ์คืออะไรโดยเฉพาะ นี่คือ.htaccessไฟล์ของฉันที่อยู่ในรูทของ ftp AuthName "ผู้ดูแลเว็บไซต์" AuthUserFile /dir/.htpasswd AuthGroupFile / dev / null AuthName ปลอดภัย AuthType พื้นฐาน ต้องการชื่อผู้ใช้ผู้ใช้ 1 คำสั่งอนุญาตปฏิเสธ อนุญาตจากทั้งหมด

98 .htaccess  password-protection  subdirectory 

ฉันกำลังทำงานกับผู้ให้บริการ PHP OpenID ที่จะทำงานผ่าน HTTPS (ด้วยเหตุนี้จึงมีการเข้ารหัส SSL) มันเป็นเรื่องที่ไม่ถูกต้องสำหรับผมที่จะส่งรหัสผ่านเป็นข้อความธรรมดา? HTTPS ในทางทฤษฎีไม่สามารถดักจับได้ดังนั้นฉันจึงไม่เห็นอะไรผิดปกติ หรือไม่ปลอดภัยในบางระดับและฉันไม่เห็นสิ่งนี้?

93 https  password-protection 

อัปเดต: เมื่อเร็ว ๆ นี้ฉันได้เรียนรู้จากคำถามนี้ว่าในการสนทนาทั้งหมดด้านล่างฉัน (และฉันแน่ใจว่าคนอื่น ๆ ก็ทำเช่นกัน) ค่อนข้างสับสน: สิ่งที่ฉันเรียกตารางสายรุ้งนั้นแท้จริงแล้วเรียกว่าตารางแฮช ตารางสายรุ้งเป็นสิ่งมีชีวิตที่ซับซ้อนกว่าและเป็นรูปแบบหนึ่งของ Hellman Hash Chains แม้ว่าฉันจะเชื่อว่าคำตอบนั้นยังคงเหมือนเดิม (เนื่องจากไม่ได้มีการเข้ารหัสลับ) การสนทนาบางส่วนอาจจะเบี้ยวเล็กน้อย คำถาม: " อะไรคือตารางรุ้งและวิธีการที่พวกเขาใช้? " โดยปกติฉันมักจะแนะนำให้ใช้ค่าสุ่มที่มีการเข้ารหัสที่แข็งแกร่งเป็นเกลือเสมอเพื่อใช้กับฟังก์ชันแฮช (เช่นรหัสผ่าน) เช่นเพื่อป้องกันการโจมตีของ Rainbow Table แต่จริง ๆ แล้วมันจำเป็นสำหรับการสุ่มเกลือหรือไม่? ค่าที่ไม่ซ้ำกัน (ไม่ซ้ำกันต่อผู้ใช้เช่น userId) จะเพียงพอหรือไม่ในเรื่องนี้ ในความเป็นจริงมันจะป้องกันไม่ให้ใช้ Rainbow Table เดียวเพื่อถอดรหัสรหัสผ่านทั้งหมด (หรือส่วนใหญ่) ในระบบ ... แต่การขาดเอนโทรปีทำให้ความแข็งแกร่งในการเข้ารหัสของฟังก์ชันแฮชลดลงหรือไม่? หมายเหตุฉันไม่ได้ถามว่าทำไมต้องใช้เกลือวิธีการป้องกัน (ไม่จำเป็นต้องเป็น) การใช้แฮชคงที่เดียว (ไม่ต้อง) หรือฟังก์ชันแฮชประเภทใดที่จะใช้ เพียงแค่ว่าเกลือต้องการเอนโทรปีหรือไม่ ขอบคุณทุกคนสำหรับคำตอบจนถึงตอนนี้ แต่ฉันอยากจะเน้นในส่วนที่ฉันไม่ค่อยคุ้นเคย (นิดหน่อย) ผลกระทบส่วนใหญ่สำหรับการเข้ารหัส …

89 security  authentication  hash  cryptography  password-protection