คำถามติดแท็ก passwords

สิ่งนี้ปลอดภัยกว่าMD5ธรรมดาแค่ไหน ฉันเพิ่งเริ่มมองหาการรักษาความปลอดภัยรหัสผ่าน ฉันค่อนข้างใหม่กับ PHP $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."' AND password = '$password'"); if (mysql_num_rows($result) < 1) { /* Access denied */ echo "The username or password you entered is incorrect."; } else { $_SESSION['id'] = mysql_result($result, 0, 'id'); …

169 php  security  passwords  salt  password-hash 

ฉันต้องการสร้างผู้ใช้ใหม่ใน mysql ด้วยไวยากรณ์: create user 'demo'@'localhost' identified by 'password'; แต่ส่งกลับข้อผิดพลาด: รหัสผ่านของคุณไม่ตรงตามข้อกำหนดนโยบายปัจจุบัน ฉันลองใช้รหัสผ่านหลายรหัสแล้ว แต่ใช้ไม่ได้ ฉันจะแก้ไขปัญหานี้ได้อย่างไร?

163 mysql  passwords 

ฉันเข้าใจได้ว่าการกำหนดรหัสผ่านให้มีความยาวขั้นต่ำนั้นสมเหตุสมผล (เพื่อบันทึกผู้ใช้จากตัวเอง) แต่ธนาคารของฉันมีข้อกำหนดว่ารหัสผ่านมีความยาวระหว่าง 6 และ 8 ตัวอักษรและฉันเริ่มสงสัย ... นี่จะไม่ทำให้การโจมตีแบบเดรัจฉานง่ายขึ้นหรือไม่ (แย่) สิ่งนี้บอกเป็นนัยว่ารหัสผ่านของฉันถูกจัดเก็บแบบไม่เข้ารหัสหรือไม่? (แย่) หากผู้ที่มี (หวังว่า) ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่ดีบางคนที่ทำงานให้กับพวกเขากำลังกำหนดรหัสผ่านให้ยาวที่สุดฉันควรคิดถึงสิ่งที่คล้ายกันหรือไม่ ข้อดี / ข้อเสียของสิ่งนี้คืออะไร

162 security  encryption  passwords 

ฉันสงสัยว่ารหัสผ่าน Hasher ที่นำมาใช้เป็นค่าเริ่มต้นในUserManagerที่มาพร้อมกับ MVC 5 และ ASP.NET Identity Framework นั้นมีความปลอดภัยเพียงพอหรือไม่ และถ้าเป็นเช่นนั้นถ้าคุณสามารถอธิบายให้ฉันฟังว่ามันทำงานอย่างไร ส่วนต่อประสาน IPasswordHasher มีลักษณะเช่นนี้: public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); } อย่างที่คุณเห็นมันไม่ใช้เกลือ แต่มีการกล่าวถึงในหัวข้อนี้: "การแฮ็กรหัสผ่าน Asp.net Identity " ซึ่งจะทำให้เกลือเค็มอยู่เบื้องหลัง ดังนั้นฉันสงสัยว่ามันจะทำอย่างไร และเกลือนี้มาจากไหน? ความกังวลของฉันคือเกลือนั้นคงที่ทำให้มันไม่ปลอดภัย

162 c#  asp.net  security  passwords  asp.net-identity 

ฉันสงสัยอยู่เสมอ ... จะดีไปกว่ากันถ้าหากฉันใส่รหัสผ่านสำหรับการแฮช: คำนำหน้าหรือ postfix? ทำไม? หรือมันมีความสำคัญตราบใดที่คุณเค็ม? ที่จะอธิบาย: เราทุกคน (หวังว่า) ทราบโดยขณะนี้ว่าเราควรเกลือรหัสผ่านก่อนที่เราจะสับมันสำหรับการจัดเก็บในฐานข้อมูล [ แก้ไข:ดังนั้นคุณสามารถหลีกเลี่ยงสิ่งที่ชอบสิ่งที่เกิดขึ้นเมื่อเร็ว ๆ นี้เจฟฟ์แอด ] โดยทั่วไปจะทำโดยการต่อเกลือกับรหัสผ่านก่อนที่จะผ่านอัลกอริทึมการแปลงแป้นพิมพ์ แต่ตัวอย่างแตกต่างกันไป ... บางตัวอย่างเสริมเกลือก่อนรหัสผ่าน ตัวอย่างบางส่วนเพิ่มเกลือหลังจากรหัสผ่าน ฉันเคยเห็นบางคนพยายามวางเกลือไว้ตรงกลาง ดังนั้นวิธีใดดีกว่าและทำไม มีวิธีที่ลดโอกาสของการชนกันของแฮชหรือไม่? Googling ของฉันไม่ได้เปิดการวิเคราะห์ที่ดีในเรื่อง แก้ไข:คำตอบที่ยอดเยี่ยม folks! ฉันขอโทษฉันเลือกได้เพียงคำตอบเดียว :)

162 hash  cryptography  passwords  salt 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน7 ปีที่ผ่านมา ฉันกำลังมองหาวิธีที่ดีที่สุดในการใช้งานคุณสมบัติ "ลืมรหัสผ่าน" ฉันออกมาพร้อมกับ 2 แนวคิด: เมื่อผู้ใช้คลิกที่ลืมรหัสผ่านผู้ใช้จะต้องป้อนชื่อผู้ใช้อีเมลและวันเดือนปีเกิดหรือนามสกุล จากนั้นอีเมลที่มีรหัสผ่านชั่วคราวจะถูกส่งไปยังบัญชีอีเมลผู้ใช้ ผู้ใช้ใช้รหัสผ่านชั่วคราวเพื่อเข้าสู่ระบบและรีเซ็ตรหัสผ่านของเขา คล้ายกัน แต่อีเมลจะมีลิงค์สำหรับให้ผู้ใช้รีเซ็ตรหัสผ่านของเขา หรือใครก็ตามสามารถแนะนำฉันได้ดีกว่าและปลอดภัยกว่า? ฉันกำลังคิดที่จะส่งรหัสผ่านชั่วคราวหรือลิงก์บังคับให้ผู้ใช้รีเซ็ตรหัสผ่านภายใน 24 ชั่วโมงมิฉะนั้นรหัสผ่านหรือลิงก์ชั่วคราวจะไม่สามารถใช้งานได้ ทำอย่างไร

154 security  authentication  passwords  forgot-password 

ผมเขียนโปรแกรม C เชลล์ที่จะทำsuหรือหรือsudo sshพวกเขาต้องการรหัสผ่านในอินพุตคอนโซล (TTY) มากกว่า stdin หรือบรรทัดคำสั่ง ไม่มีใครรู้วิธีการแก้ปัญหา? การตั้งค่ารหัสผ่านsudoไม่ได้เป็นตัวเลือก คาดหวัง อาจเป็นตัวเลือก แต่ไม่มีในระบบ stripping down ของฉัน

148 linux  ssh  passwords  sudo  su 

ฉันได้พบกับการสนทนาที่ฉันได้เรียนรู้ว่าสิ่งที่ฉันทำไม่ได้ในความเป็นจริงการใส่เกลือรหัสผ่าน แต่ทำให้พวกเขาวุ่นวายและฉันก็เริ่มทำทั้งสองอย่างด้วยฟังก์ชั่นเช่น: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] ไม่สนใจอัลกอริทึมแฮชที่เลือก (ฉันต้องการให้นี่เป็นการอภิปรายของเกลือ & พริกไทยและไม่ใช่อัลกอริทึมเฉพาะ แต่ฉันใช้ secure one), นี่เป็นตัวเลือกที่ปลอดภัยหรือฉันควรทำสิ่งที่แตกต่างกันหรือไม่? สำหรับผู้ที่ไม่คุ้นเคยกับข้อกำหนด: เกลือเป็นค่าที่สร้างแบบสุ่มมักจะเก็บไว้กับสตริงในฐานข้อมูลได้รับการออกแบบที่จะทำให้มันเป็นไปไม่ได้ที่จะใช้ตารางแฮชจะ crack รหัสผ่าน เนื่องจากรหัสผ่านแต่ละอันมีเกลือเป็นของตัวเองพวกเขาทุกคนจะต้องถูกบังคับให้ดุร้ายเป็นรายบุคคลเพื่อที่จะถอดรหัสพวกเขา อย่างไรก็ตามเนื่องจากเกลือถูกเก็บไว้ในฐานข้อมูลด้วยรหัสผ่านแฮชการประนีประนอมฐานข้อมูลหมายถึงการสูญเสียทั้งสองอย่าง พริกไทยเป็นค่าคงที่ทั่วทั้งไซต์จัดเก็บแยกต่างหากจากฐานข้อมูล (โดยปกติจะกำหนดค่าตายตัวในรหัสที่มาของโปรแกรม) ซึ่งมีวัตถุประสงค์เพื่อเป็นความลับ มันถูกใช้เพื่อให้การประนีประนอมของฐานข้อมูลจะไม่ทำให้ตารางรหัสผ่านของแอปพลิเคชันทั้งหมดสามารถใช้งานได้อย่างดุร้าย มีอะไรที่ฉันขาดหายไปและการล้างรหัสผ่านของฉันเป็นทางเลือกที่ดีที่สุดในการป้องกันความปลอดภัยของผู้ใช้ มีข้อบกพร่องด้านความปลอดภัยที่เป็นไปได้ที่จะทำเช่นนี้? หมายเหตุ: สมมติว่ามีวัตถุประสงค์เพื่อการสนทนาที่เก็บแอปพลิเคชัน & ฐานข้อมูลไว้ในเครื่องที่แยกต่างหากอย่าแชร์รหัสผ่าน ฯลฯ ดังนั้นการละเมิดเซิร์ฟเวอร์ฐานข้อมูลจึงไม่ได้หมายถึงการละเมิดแอพพลิเคชันเซิร์ฟเวอร์โดยอัตโนมัติ

145 security  hash  passwords  salt  password-hash 

เกณฑ์ความแข็งแรงของรหัสผ่านของฉันเป็นดังนี้: ความยาว 8 ตัวอักษร 2 ตัวอักษรในตัวพิมพ์ใหญ่ 1 ตัวละครพิเศษ (!@#$&*) 2 ตัวเลข (0-9) 3 ตัวอักษรในตัวพิมพ์เล็ก ใครช่วยกรุณาให้ regex ฉันเหมือนกัน เงื่อนไขทั้งหมดต้องเป็นไปตามรหัสผ่าน

142 regex  passwords 

คะแนนสูงสุดของปัจจุบันสำหรับคำถามนี้ระบุว่า: อีกคนหนึ่งที่ไม่มากปัญหาด้านความปลอดภัยแม้ว่ามันจะเป็นที่เกี่ยวข้องกับการรักษาความปลอดภัยมีความสมบูรณ์และความล้มเหลวที่จะต่ำต้อยgrok ความแตกต่างระหว่าง hashing รหัสผ่านและการเข้ารหัสลับ พบมากที่สุดในรหัสที่โปรแกรมเมอร์พยายามให้ฟังก์ชั่น "เตือนฉันด้วยรหัสผ่านของฉัน" ที่ไม่ปลอดภัย ความแตกต่างนี้คืออะไร? ฉันอยู่ภายใต้ความรู้สึกเสมอว่าการแฮ็ชเป็นรูปแบบของการเข้ารหัส ฟังก์ชั่นที่ไม่ปลอดภัยที่ผู้โพสต์อ้างถึงคืออะไร?

140 security  language-agnostic  encryption  hash  passwords 

ฉันเพิ่งเริ่มคิดว่าคีย์ api และคีย์ลับทำงานอย่างไร เพียง 2 วันที่ผ่านมาฉันลงทะเบียนสำหรับ Amazon S3 และติดตั้งปลั๊กอิน S3Fox พวกเขาขอให้ฉันใช้ทั้งรหัสการเข้าถึงและรหัสการเข้าถึงแบบลับซึ่งทั้งสองอย่างนั้นต้องการให้ฉันเข้าสู่ระบบเพื่อการเข้าถึง ดังนั้นฉันสงสัยว่าถ้าพวกเขาถามฉันถึงรหัสลับของฉันพวกเขาจะต้องเก็บมันไว้ที่ไหนสักแห่งใช่มั้ย นั่นเป็นสิ่งเดียวกับการขอหมายเลขบัตรเครดิตหรือรหัสผ่านของฉันและเก็บไว้ในฐานข้อมูลของตัวเองหรือไม่ คีย์ลับและคีย์ API ควรทำงานอย่างไร พวกเขาจำเป็นต้องมีความลับแค่ไหน? แอปพลิเคชันเหล่านี้ที่ใช้รหัสลับจัดเก็บอย่างใดหรือไม่?

136 security  amazon-s3  passwords  api-key  secret-key 

ในแอพของฉันมีฟิลด์ข้อความที่ผู้ใช้ต้องใส่คือรหัสผ่านและฉันต้องการให้เมื่อเขาป้อนอักขระมันจะเปลี่ยนเป็น '•' ฉันจะทำสิ่งนี้ได้อย่างไร?

132 swift  passwords 

เมื่อฉันต้องการวางระบบล็อกอินฉันมักจะเปรียบเทียบ MD5 ของรหัสผ่านที่กำหนดกับค่าในตารางผู้ใช้ทางฝั่งเซิร์ฟเวอร์ อย่างไรก็ตามเพื่อนของฉันคนหนึ่งบอกฉันว่ารหัสผ่านที่ "ชัดเจน" อาจถูกใช้โดยซอฟต์แวร์เครือข่าย ดังนั้นคำถามของฉันคือ: ควรแฮชรหัสผ่านทางฝั่งไคลเอ็นต์หรือไม่? มันดีกว่าการแฮชที่ฝั่งเซิร์ฟเวอร์หรือไม่?

132 passwords  client-side  hash 

อะไรคำว่า "ราก" หมายถึงในphpMyAdmin ? เมื่อใดก็ตามที่ฉันเขียนlocalhost/phpmyadminบนแถบที่อยู่ฉันจะถูกขอให้ป้อนชื่อผู้ใช้และรหัสผ่าน แต่ฉันไม่รู้ว่ามันคืออะไร ฉันจำไม่ได้ว่าจะตั้งเมื่อไหร่และที่ไหน ฉันจะได้รับชื่อผู้ใช้และรหัสผ่านของฉันจากที่ใดเพื่อเข้าสู่ phpMyAdmin

130 php  mysql  windows  phpmyadmin  passwords 

ฉันมีบริการสร้างอัตโนมัติซึ่งดาวน์โหลดจาก git private repository ปัญหาคือเมื่อพยายามโคลนที่เก็บจำเป็นต้องระบุรหัสผ่านเนื่องจากจำไม่ได้ ดังนั้นเนื่องจากไม่มีการโต้ตอบกับมนุษย์จึงรอรหัสผ่านตลอดไป ฉันจะบังคับให้จำจาก id_rsa.pub ได้อย่างไร

125 windows  git  passwords  ssh-keys