คำถามติดแท็ก security

ฉันไม่เห็นด้วยกับใครบางคน (ลูกค้า) เกี่ยวกับกระบวนการระบุตัวตนผู้ใช้ / การรับรองความถูกต้องสำหรับระบบ จำนวนของมันคือการที่พวกเขาต้องการให้ผู้ใช้แต่ละคนมีรหัสผ่านที่ไม่ซ้ำกันทั่วโลก (เช่นไม่มีผู้ใช้สองคนสามารถมีรหัสผ่านเดียวกัน) ฉันได้คัดค้านข้อโต้แย้งที่ชัดเจนทั้งหมดเกี่ยวกับเรื่องนี้ (มันเป็นช่องโหว่ด้านความปลอดภัยมันสร้างความสับสนให้กับการพิสูจน์ตัวตนมันไร้ประโยชน์ ฯลฯ ) แต่พวกเขายืนยันว่าไม่มีอะไรผิดปกติกับวิธีนี้ ฉันได้ทำการค้นหา google หลายครั้งที่กำลังมองหาความคิดเห็น (หรือกึ่งมีอำนาจหรือแม้กระทั่งเป็นอิสระ) ในเรื่องนี้ แต่ไม่สามารถหาสิ่งใดได้ เท่าที่ฉันสามารถบอกได้) ใครช่วยชี้ให้ฉันเห็นความคิดเห็นที่เป็นอิสระเช่นนี้ได้ไหม? [แก้ไข] ขอบคุณสำหรับคำตอบทั้งหมดของคุณ แต่ฉันเข้าใจปัญหาของแนวทาง / ข้อกำหนดที่เสนอนี้แล้วและสามารถอธิบายให้ลูกค้าทราบได้ แต่ลูกค้าไม่ยอมรับพวกเขาดังนั้นคำขอของฉันสำหรับแหล่งข้อมูลที่เป็นอิสระและ / หรือเชื่อถือได้ . ฉันยังพบบทความประจำวัน WTF แต่มันทนทุกข์ทรมานจากปัญหาที่จอนฮอปกินส์มีออกแหลม - ว่านี้เป็น WTF ชัดเจนในตัวเองเช่นนั้นก็ดูเหมือนจะไม่คุ้มค่าการอธิบายว่าทำไม และใช่รหัสผ่านจะถูกใส่เกลือและแฮช ในกรณีที่ความเป็นเอกลักษณ์ระดับโลกอาจเป็นเรื่องยากที่จะให้ความมั่นใจ แต่นั่นไม่ได้แก้ปัญหาของฉัน - มันก็หมายความว่าฉันมีข้อกำหนดที่ลูกค้าจะไม่ขยับเขยื่อนไขไม่เพียง แต่จะไม่ได้รับคำแนะนำ แต่ก็ยากที่จะ การดำเนินการ และถ้าฉันอยู่ในฐานะที่จะพูดว่า "ฉันไม่ได้จ่ายเงินเพื่อขายเกลือและขายของ" ฉันก็จะอยู่ในฐานะที่จะพูดว่า "ฉันไม่ได้ใช้รหัสผ่านที่ไม่ซ้ำกันทั่วโลก" ตัวชี้ไปยังแหล่งข้อมูลที่เป็นอิสระและ / …

20 security  passwords 

หากฉันสร้างล็อกอินสำหรับแอปที่มีความเสี่ยงปานกลางถึงต่ำ (กล่าวคือไม่ใช่แอพธนาคารหรืออะไรก็ตาม) เป็นสิ่งที่ยอมรับได้หรือไม่สำหรับฉันที่จะตรวจสอบรหัสผ่านที่ผู้ใช้ป้อนโดยเพียงแค่พูดว่า: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); ดูเหมือนง่ายที่จะมีประสิทธิภาพ แต่แน่นอนฉันจะไม่รังเกียจถ้านั่นคือทั้งหมดที่จำเป็น การตรวจสอบคอมโบของชื่อผู้ใช้ / รหัสผ่านง่ายเพียงพอหรือไม่ อัปเดต:โครงการเฉพาะที่เกิดขึ้นเป็นบริการเว็บการตรวจสอบเป็นฝั่งเซิร์ฟเวอร์ทั้งหมดและไม่ใช่โอเพ่นซอร์ส โดเมนเปลี่ยนวิธีจัดการกับสิ่งนี้หรือไม่?

20 security  passwords  validation 

หลังจากอ่านคำถามที่น่าสนใจนี้ฉันรู้สึกว่าฉันมีความคิดที่ดีว่าอัลกอริทึมการแปลงแป้นพิมพ์ที่ไม่ปลอดภัยที่ฉันใช้ถ้าฉันต้องการ แต่ฉันไม่รู้ว่าทำไมฉันจึงอาจใช้อัลกอริทึมที่ปลอดภัยแทน ดังนั้นความแตกต่างคืออะไร? ผลลัพธ์ไม่ใช่แค่ตัวเลขสุ่มที่แสดงถึงสิ่งที่ถูกแฮชหรือไม่ อะไรทำให้อัลกอริทึมการแปลงแป้นพิมพ์มีความปลอดภัย

19 security  hashing 

เป็นการยากที่จะบอกสิ่งที่ถูกถามที่นี่ คำถามนี้คลุมเครือคลุมเครือไม่สมบูรณ์กว้างเกินไปหรือโวหารและไม่สามารถตอบได้อย่างสมเหตุสมผลในรูปแบบปัจจุบัน สำหรับความช่วยเหลือในการทำความเข้าใจคำถามนี้เพื่อที่จะสามารถเปิด, ไปที่ศูนย์ช่วยเหลือ ปิดให้บริการใน7 ปีที่ผ่านมา ฉันมักจะเจอข้อบกพร่องที่เกิดจากการใช้ELSEโครงสร้าง ตัวอย่างที่สำคัญคือบางสิ่งบางอย่างตามแนวของ: If (passwordCheck() == false){ displayMessage(); }else{ letThemIn(); } สำหรับฉันแล้วปัญหาด้านความปลอดภัยนี้ส่งเสียงร้อง ฉันรู้ว่า passwordCheck มีแนวโน้มที่จะเป็นบูลีน แต่ฉันจะไม่วางความปลอดภัยของแอปพลิเคชันของฉันไว้ในนั้น จะเกิดอะไรขึ้นถ้ามันเป็นสตริง, int เป็นต้น? ฉันมักจะพยายามหลีกเลี่ยงการใช้ELSEและเลือกใช้คำสั่ง IF แยกต่างหากสองรายการเพื่อทดสอบสิ่งที่ฉันคาดหวัง สิ่งอื่นใดแล้วจะได้รับการละเว้นหรือมีการจัดการโดยเฉพาะ แน่นอนว่านี่เป็นวิธีที่ดีกว่าในการป้องกันข้อผิดพลาด / ปัญหาด้านความปลอดภัยในแอปของคุณ พวกคุณทำยังไง?

18 self-improvement  programming-practices  security 

ฉันใช้โทเค็น JWT ในส่วนหัว HTTP เพื่อตรวจสอบสิทธิ์คำขอไปยังเซิร์ฟเวอร์ทรัพยากร เซิร์ฟเวอร์ทรัพยากรและเซิร์ฟเวอร์รับรองความถูกต้องมีบทบาทผู้ปฏิบัติงานแยกกันสองบทบาทบน Azure ฉันไม่สามารถตัดสินใจได้ว่าควรจัดเก็บการเคลมในโทเค็นหรือแนบไปกับคำขอ / ตอบกลับด้วยวิธีอื่น รายการการอ้างสิทธิ์ส่งผลกระทบต่อการแสดงผลองค์ประกอบ UI ฝั่งไคลเอ็นต์รวมถึงการเข้าถึงข้อมูลบนเซิร์ฟเวอร์ ด้วยเหตุนี้ฉันต้องการตรวจสอบให้แน่ใจว่าการเรียกร้องที่ได้รับจากเซิร์ฟเวอร์นั้นเป็นของแท้และผ่านการตรวจสอบก่อนที่จะดำเนินการตามคำขอ ตัวอย่างของการอ้างสิทธิ์คือ: CanEditProductList, CanEditShopDescription, CanReadUserDetails เหตุผลที่ฉันต้องการใช้โทเค็น JWT สำหรับพวกเขาคือ: การป้องกันที่ดีขึ้นต่อการแก้ไขการเคลมสินค้าด้านลูกค้า ไม่จำเป็นต้องค้นหาการอ้างสิทธิ์ในทุกคำขอ เหตุผลที่ฉันไม่ต้องการใช้โทเค็น JWT: เซิร์ฟเวอร์รับรองความถูกต้องจะต้องทราบรายการการเรียกร้องเป็นศูนย์กลางของแอพ โทเค็นกลายเป็นจุดเดียวของการแฮ็ค ฉันได้อ่านบางสิ่งที่บอกว่าโทเค็น JWT ไม่ได้มีไว้สำหรับข้อมูลระดับแอป สำหรับฉันแล้วดูเหมือนว่าทั้งคู่มีข้อเสีย แต่ฉันโน้มตัวไปยังการรวมการอ้างสิทธิ์เหล่านี้ลงในโทเค็นและเพียงแค่ต้องการเรียกใช้สิ่งนี้โดยผู้ที่เคยจัดการกับเรื่องนี้มาก่อน หมายเหตุ: ฉันจะใช้ HTTPS สำหรับคำขอ API ทั้งหมดดังนั้นดูเหมือนว่าโทเค็นจะปลอดภัยพอ ฉันใช้ AngularJS, C #, Web API 2 และ MVC5

18 security  http  authentication  authorization 

ฉันอ่านคำตอบนี้และพบว่ามีความคิดเห็นยืนยันที่จะไม่ส่งรหัสผ่านทางอีเมล: รหัสผ่านไม่สามารถเรียกคืนได้ทางอีเมลฉันเกลียดที่ หมายความว่ารหัสผ่านของฉันถูกเก็บไว้ในรูปแบบข้อความธรรมดา ควรรีเซ็ตเท่านั้น นี่ทำให้ฉันมีคำถามเรื่องการจัดการตัวเลือกลืมรหัสผ่าน? รหัสผ่านแบบดิบจะต้องแสดงใน UI ใด ๆ เพื่อให้ผู้ใช้สามารถอ่านได้ ดังนั้นสิ่งที่จะเป็นวิธีในการจัดการ "ลืมรหัสผ่าน"

18 programming-practices  security  email  passwords 

ฉันเพิ่งใช้บริการของรัฐที่ฉันมีบัญชีมานานหลายปีแล้ว ฉันจำรหัสผ่านไม่ได้สำหรับบริการดังนั้นฉันจึงใช้ลิงก์ "ลืมรหัสผ่าน" และรู้สึกประหลาดใจเมื่อเห็นว่าเว็บไซต์ของรัฐบาลนี้ส่งรหัสผ่านของฉันไปยังที่อยู่อีเมลเป็นข้อความธรรมดา ฉันทราบถึงวิธีจัดการกับรหัสผ่านของผู้ใช้เป็นการส่วนตัวและฉันส่งความคิดเห็นบางอย่างเกี่ยวกับข้อกังวลของฉันผ่านแบบฟอร์มความคิดเห็น (นี่เป็นเว็บไซต์ของรัฐบาลผู้คนใช้บริการ gov ออนไลน์อื่น ๆ ที่จัดการกับข้อมูลที่ละเอียดอ่อน คนส่วนใหญ่ใช้รหัสผ่านเดียวกันหรือรหัสผ่านจำนวนหนึ่งสำหรับทุกสิ่ง (ฉันรู้ว่าฉันทำ) และฉันสงสัยว่ามีการใช้การรักษาความปลอดภัยแบบเดียวกันตลอด) ซึ่งฉันได้รับการตอบกลับอย่างรวดเร็ว พวกเขาเพียงแค่ให้ความมั่นใจกับฉันว่า "กระทรวงได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องข้อมูลรหัสผ่านรวมถึงการจัดเก็บพวกเขาด้วยการเข้ารหัสที่เหมาะสม" ฉันอยากจะบอกว่า "เห็นได้ชัดว่าคุณไม่ได้ทำตามขั้นตอนที่จำเป็นหากคุณสามารถส่งรหัสผ่านให้ฉันทางอีเมล" แต่ฉันไม่ได้พยายามหยาบคายและฉันไม่คิดว่าข้อความของฉันจะเคย เข้าถึงคนที่รู้ว่าฉันหมายถึงอะไรอยู่ดี ดังนั้นฉันจึงขอกล่าวว่า "ขั้นตอนที่จำเป็นยังไม่ได้ดำเนินการตาม [มาตรฐานความปลอดภัยบางอย่างเป็นทางการ]" ซึ่งอาจกระตุ้นให้บางคนมองเข้าไป ฉันค้นหา OWASP อย่างรวดเร็ว แต่พบบทความเกี่ยวกับที่เก็บข้อความธรรมดา มีมาตรฐานความปลอดภัยเกี่ยวกับการจัดการรหัสผ่านของผู้ใช้ที่มีการห้ามจัดเก็บข้อมูลรหัสผ่านที่สามารถเรียกคืนได้หรือไม่ (อย่างที่ฉันคิดว่าน่าจะเป็น) ยิ่งไปกว่านั้น: มีมาตรฐานดังกล่าวที่ต้องปฏิบัติตามด้วยเว็บไซต์ที่จัดการกับข้อมูลที่ละเอียดอ่อนเช่นธนาคารและบริการเว็บของรัฐบาลหรือไม่ ฉันรู้ว่าฉันอาจจะไม่เปลี่ยนแปลงอะไรเลย แต่มันก็คุ้มค่ากับ IMO shot

17 security  standards  passwords 

สำหรับ บริษัท ที่ฉันเคยทำงานให้ฉันต้องใช้ตัวรับสัญญาณซ็อกเก็ตที่ส่วนใหญ่ใช้ข้อมูลในรูปแบบ UDP ผ่านการเชื่อมต่อท้องถิ่นจากฮาร์ดแวร์เซ็นเซอร์บางตัว ข้อมูลที่เป็นปัญหาคือแพ็คเก็ต UDP ที่มีรูปแบบที่ดี แต่ที่น่าสนใจปริมาณข้อมูลนั้นจะสิ้นสุดลงด้วยการตรวจสอบ CRC16 ที่เกิดขึ้นโดยใช้ข้อมูลที่เหลือ ฉันใช้การตรวจสอบในตอนท้ายของฉันตามข้อกำหนด แต่ฉันมักจะสงสัยว่านี่เป็นสิ่งที่จำเป็น ท้ายที่สุดแล้วโปรโตคอล UDP เองนั้นไม่มีซีอาร์ซีแบบ 16 บิตหรือไม่? ดังนั้นแม้ว่าแพ็กเก็ต UDP อาจสูญหายหรือล้าสมัยได้ แต่ฉันรู้สึกว่ามันไม่สามารถเสียหายได้หากไม่ได้รับการละทิ้งโดยฮาร์ดแวร์เครือข่ายก่อนที่จะถึงกระบวนการของระบบปฏิบัติการ หรือมีกรณีใช้พิเศษบางอย่างที่ฉันขาดไป เป็นมูลค่าเพิ่มที่ฉันทำงานในอุตสาหกรรมการป้องกันประเทศซึ่งในขณะที่ฉันแน่ใจว่าคุณสามารถจินตนาการชอบที่จะชัดเจนเกี่ยวกับทุกอย่างเช่นนี้ดังนั้นฉันสงสัยว่ามันเป็นเพียงกรณีของ "ความปลอดภัย OCD" ..

16 security  networking  data-integrity 

ฉันเพิ่งอ่านบทความนี้ที่มีอายุไม่กี่ปี แต่อธิบายวิธีที่ชาญฉลาดในการรักษา REST API ของคุณ เป็นหลัก: ลูกค้าแต่ละรายมีคู่คีย์สาธารณะ / ส่วนตัวที่ไม่ซ้ำกัน เฉพาะลูกค้าและเซิร์ฟเวอร์เท่านั้นที่รู้รหัสส่วนตัว มันไม่เคยถูกส่งผ่านสาย ด้วยการร้องขอแต่ละครั้งไคลเอนต์ใช้หลายอินพุต (การร้องขอทั้งหมดเองการประทับเวลาปัจจุบันและคีย์ส่วนตัว) และเรียกใช้ผ่านฟังก์ชัน HMAC เพื่อสร้างแฮชของการร้องขอ จากนั้นไคลเอ็นต์จะส่งคำขอปกติ (ซึ่งมีรหัสสาธารณะ) และแฮชไปยังเซิร์ฟเวอร์ เซิร์ฟเวอร์ค้นหาคีย์ส่วนตัวของลูกค้า (ตามคีย์สาธารณะที่ให้ไว้) และทำการตรวจสอบเวลาบางอย่าง (ที่ยอมรับกันโดยทั่วไปว่าฉันไม่เข้าใจ) ที่ยืนยันว่าคำขอไม่ตกเป็นเหยื่อของการโจมตีซ้ำ ถ้าทุกอย่างเรียบร้อยแล้วเซิร์ฟเวอร์จะใช้ไพรเวตคีย์และฟังก์ชั่น HMAC เดียวกันเพื่อสร้างการแฮชของคำขอ เซิร์ฟเวอร์จะเปรียบเทียบแฮชทั้งสอง (อันที่ส่งโดยลูกค้าเช่นเดียวกับที่สร้างขึ้น); หากตรงกันจะมีการตรวจสอบความถูกต้องและอนุญาตให้ดำเนินการต่อได้ จากนั้นฉันสะดุดJWTซึ่งฟังดูคล้ายกันมาก อย่างไรก็ตามบทความแรกไม่ได้พูดถึง JWT เลยและฉันก็สงสัยว่า JWT นั้นแตกต่างจากวิธีแก้ปัญหาข้างต้นหรือไม่และถ้าเป็นเช่นนั้น

16 security  rest  authentication  keys  hmac 

ดูเหมือนจะน้อยกว่าปกติกับเว็บไซต์ใหม่ ๆ แต่หลาย ๆ เว็บไซต์ที่ฉันต้องการบัญชี (เช่นชำระค่าใช้จ่าย ฯลฯ ) ทำให้ฉันไม่สามารถสร้างรหัสผ่านที่มีช่องว่างได้ สิ่งนี้ทำให้ยากต่อการจดจำเท่านั้นและฉันรู้ว่าไม่มีข้อ จำกัด ฐานข้อมูลหรือการเขียนโปรแกรมในช่องว่างในรหัสผ่านการเข้ารหัสหรือ (ห้ามมิให้สวรรค์) เป็นอย่างอื่น ทำไมสเปซบาร์จึงถูกแบ่งแยกโดยทั่วไปเมื่อพูดถึงการสมัครใช้งานเว็บไซต์

16 security  login  privacy 

ฉันเป็นนักพัฒนา Java มานานและในที่สุดหลังจากวิชาเอกฉันมีเวลาศึกษาอย่างเหมาะสมเพื่อทำการสอบรับรอง ... สิ่งหนึ่งที่ทำให้ฉันรำคาญอยู่เสมอคือ String เป็น "ขั้นสุดท้าย" ฉันเข้าใจเมื่ออ่านเกี่ยวกับปัญหาด้านความปลอดภัยและสิ่งที่เกี่ยวข้อง ... แต่จริงๆแล้วทุกคนมีตัวอย่างที่แท้จริงของเรื่องนี้หรือไม่? ตัวอย่างเช่นจะเกิดอะไรขึ้นหาก String ไม่เป็นที่สิ้นสุด มันไม่ได้อยู่ในรูบี ฉันไม่เคยได้ยินเรื่องร้องเรียนใด ๆ ที่มาจากชุมชน Ruby ... และฉันรู้ว่า StringUtils และคลาสที่เกี่ยวข้องที่คุณต้องใช้เองหรือค้นหาผ่านเว็บเพื่อใช้พฤติกรรมนั้น (โค้ด 4 บรรทัด) คุณ ยินดีที่จะ

16 java  security 

ปิด คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้มุ่งเน้นที่ปัญหาเดียวโดยแก้ไขโพสต์นี้ ปิดให้บริการใน5 ปีที่ผ่านมา ดังนั้นฉันจึงทำงานในสถานที่ทำงานที่แตกต่างกันมากมายในฐานะนักพัฒนาและระดับการเข้าถึงฐานข้อมูลของฉันมีการเปลี่ยนแปลง โดยทั่วไปฉันไม่มีสิทธิ์เข้าถึงฐานข้อมูลการผลิต เวลาส่วนใหญ่ของฉันมีการเข้าถึงฐานข้อมูลการทดสอบ แต่มันแตกต่างกันไป บางครั้งฉันสามารถทำได้และเปลี่ยนฐานข้อมูลและข้อมูลตามที่ฉันต้องการ แต่มักจะมีข้อตกลงอื่น ๆ เช่นเดียวกับฉันอาจเข้าถึงการอ่านข้อมูลได้เท่านั้น ฉันทำงานในที่เดียวที่ทีม DBA จะจัดการฐานข้อมูลเราไม่สามารถเปลี่ยนแปลงได้เลยนอกจากว่าเราจะส่งแบบฟอร์มด้วยสคริปต์ sql สำหรับพวกเขาเพื่อ "ตรวจสอบ" โดยทั่วไปแล้วพวกเขาไม่มีอะไรเกี่ยวข้องกับโครงการมากนักเวลาส่วนใหญ่ก็แค่กด F5 สุจริตฉันสามารถเข้าใจว่าทำไมต้องแยงลง แต่ฉันชอบที่จะมีการเข้าถึงฐานข้อมูลมากในสภาพแวดล้อม dev และทดสอบ ฉันคิดว่า devs ส่วนใหญ่มีความสามารถพอสมควรที่จะรู้วิธีการของพวกเขารอบฐานข้อมูล แต่ฉันต้องการที่จะได้ยินความคิดเห็น นักพัฒนาควรมีการเข้าถึงฐานข้อมูลเท่าใด เราสามารถเชื่อถือได้หรือไม่ที่จะทำลายทุกสิ่งที่นั่น?

16 database  security  access 

โปรโตคอลเครือข่ายพื้นฐานจำนวนมากที่ประกอบขึ้นเป็นโครงสร้างพื้นฐานของอินเทอร์เน็ตถูกสร้างขึ้นในระบบปฏิบัติการส่วนใหญ่ ตัวอย่างเช่น TCP, UDP และ DNS ทั้งหมดมีอยู่ใน Linux, UNIX และ Windows และให้บริการแก่โปรแกรมเมอร์ผ่าน API ระบบระดับต่ำ แต่เมื่อพูดถึง SSL หรือ TLS เราต้องเปลี่ยนไปใช้ห้องสมุดบุคคลที่สามเช่น OpenSSL หรือ Mozilla NSS SSL เป็นโปรโตคอลที่ค่อนข้างเก่าและโดยทั่วไปจะเป็นมาตรฐานอุตสาหกรรมที่แพร่หลายเหมือนกับ TCP / IP ดังนั้นทำไมมันไม่สร้างในระบบปฏิบัติการส่วนใหญ่

16 security  operating-systems  protocol  ssl 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน4 ปีที่แล้ว ในเว็บไซต์ที่เชื่อถือได้ฉันจะเห็นการอ้างสิทธิ์เช่น "ข้อมูลทั้งหมดได้รับการเข้ารหัส" หรือ "รหัสผ่านทั้งหมดจะถูกเข้ารหัสโดยใช้การเข้ารหัสแบบ 128 บิต" และอื่น ๆ อย่างไรก็ตามฉันไม่เคยเจอการอ้างสิทธิ์เช่น "รหัสผ่านทั้งหมดถูกแฮช" ในเว็บไซต์ของฉันฉันจะเก็บรหัสผ่านผู้ใช้ทั้งหมดในฐานข้อมูลหลังจากใช้ SHA-512 (ส่วนใหญ่) hashing ด้วยเกลือแบบสุ่ม ฉันต้องการเพิ่ม snipet ที่ทำให้ผู้ใช้มั่นใจว่ารหัสผ่านของพวกเขาปลอดภัยดังนั้นพวกเขาจะไม่ถูกขัดขวางจากการใช้เว็บไซต์ของฉันเพราะมันต้องใช้รหัสผ่าน ฉันต้องการให้ผู้ใช้รู้สึกปลอดภัย แต่ฉันไม่คิดว่าทุกคนรู้ว่าการแฮ็กคืออะไร คำถามของฉัน: การส่งข้อความโดยบอกว่า "รหัสผ่านทั้งหมดมีการเข้ารหัสและปลอดภัย" เนื่องจากฉันไม่คิดว่าผู้ใช้โดยเฉลี่ยจะรู้ว่าความแตกต่างระหว่างการแฮชและการเข้ารหัสคืออะไรและมีแนวโน้มที่จะรู้สึกปลอดภัยมากขึ้นเพราะพวกเขาเห็น คำว่า "เข้ารหัส" ที่สะดวกสบายคืออะไร? หรือมีข้อความอื่นที่ฉันควรให้? ในหมายเหตุด้านบนฉันยังใหม่กับการเข้ารหัสและการแฮ็กรหัสผ่านและฉันสงสัยว่าสิ่งนี้จะปลอดภัยพอสำหรับตอนนี้เมื่อฉันเปิดไซต์หรือไม่ ฉันไม่ต้องการบอกผู้ใช้ว่าปลอดภัยหากไม่เป็นเช่นนั้น ข้อมูลใด ๆ ที่จะได้รับการชื่นชมอย่างมาก ขอบคุณ

15 security  ethics  encryption  passwords  hashing 

ฉันได้อ่านหลายกระทู้หลายโพสต์ว่า "คุณอาจเก็บรหัสผ่านผิด" พวกเขามักจะหมายถึงการจัดเก็บรหัสผ่านบนเซิร์ฟเวอร์ที่ผู้ใช้เข้าสู่ระบบ; พวกเขาโดยทั่วไปทำใหม่ (ปุนตั้งใจ) คำแนะนำที่แพร่หลายเช่นให้แน่ใจว่าใส่เกลือรหัสผ่าน ฯลฯ ฯลฯ อย่างไรก็ตามฉันไม่เคยเห็นบทความเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดเก็บรหัสผ่านบนไคลเอนต์เพื่อให้ลูกค้าไม่ต้องเข้าสู่ระบบ ทุกครั้งที่ต้องการล็อกอินด้วยตนเองทุกครั้ง คุณลักษณะ "จดจำฉัน" ซอฟต์แวร์หลายชิ้นมีคุณสมบัตินี้ตั้งแต่เบราว์เซอร์ไปจนถึงโปรแกรมอย่าง Dropbox เมื่อเร็ว ๆ นี้ฉันได้อ่านบทความเก่าเกี่ยวกับวิธีที่ Dropbox จัดเก็บ ID บนคอมพิวเตอร์ของคุณซึ่งคุณสามารถคัดลอก / วางไปยังคอมพิวเตอร์เครื่องอื่นแล้วเริ่ม Dropbox และเข้าสู่ระบบในฐานะอุปกรณ์ที่คุณได้รับ ID ไม่มีการเข้าสู่ระบบไม่มีอะไรและเข้าถึงบัญชี Dropbox ได้อย่างสมบูรณ์ ดูเหมือนว่าการออกแบบที่โง่จริงๆ แต่ฉันไม่สามารถคิดวิธีที่ดีกว่านี้ได้ ฉันไม่แน่ใจด้วยซ้ำว่าจะหลีกเลี่ยงการเก็บบางสิ่งเช่นคุกกี้ในข้อความล้วน หากคุณเข้ารหัสคุณจะเก็บกุญแจไว้เพื่อถอดรหัสที่ไหน วิธีเดียวที่ฉันเห็นว่าไม่แนะนำช่องโหว่ด้านความปลอดภัยคือการลบคุณลักษณะ autologin และทำให้ผู้ใช้พิมพ์รหัสผ่านทุกครั้งที่ต้องการใช้บริการ แต่นั่นเป็นการต่อสู้ที่ใช้งานง่ายและผู้ใช้มักจะถูกคาดหวังว่าจะไม่ต้องทำเช่นนั้น ฉันจะอ่านอะไรเกี่ยวกับการจัดเก็บข้อมูลประจำตัวในท้องถิ่นอย่างปลอดภัยเพื่อใช้คุณสมบัติการเข้าสู่ระบบอัตโนมัติ? หากหลักการเรียบง่ายเกินไปสำหรับบทความทั้งหมดมันคืออะไร? ซอฟต์แวร์ที่เป็นปัญหาไม่ควรขึ้นอยู่กับฟีเจอร์ที่ไม่มีในทุกแพลตฟอร์ม (เช่น "keychain" บางตัวมีการแจกแจงลินุกซ์)

15 security  login