tpl*_*ner 7 security authentication
我正在为应用程序编写一个全面的身份验证系统,我正计划记录失败的身份验证尝试,以实现更好的安全性.我想检查蛮力和字典攻击的失败密码,但是我能想到的唯一方法是存储原始密码.
我对这样做感到复杂.虽然我知道失败的登录尝试将经常被清除,但我不喜欢将原始密码存储在数据库中的想法.我知道我经常输错密码,这与我的真实密码非常相似,或者更糟糕的是,我会为特定登录输入错误的密码,这实际上是我所属的另一个网站的活动密码.
但是,如果不存储一些原始密码,就不可能实现高级安全性,因此我正在考虑采用最佳方法.
以下是我想到的一些可能的解决方案:
有人对此有任何意见吗?这是好主意吗?我应该使用双向加密吗?
Pet*_*ter 12
用户犯错误和暴力/字典攻击之间存在很大差异:请求量.不要存储失败的尝试 - 你应该最低限度地处理明文密码是正确的 - 只需看一下尝试的模式.这应该是足够的数据.
其他任何东西,你的'高级安全'开始看起来像'高级攻击矢量可能性'.
| 归档时间: |
|
| 查看次数: |
1759 次 |
| 最近记录: |