那些遇到过的问题

我应该在这种情况下哈希密码吗?

Gal*_*Gal 3 passwords hash

我的网站不包含过于敏感的数据.我正在考虑存储密码,因为如果用户希望通过电子邮件接收密码(如果他们丢失了密码),那么我就可以将密码发送给他们,而不是做任何繁琐而烦人的事情,比如发送他们创建了一个新密码(它也无效).

我应该按原样存放它们吗?

Emi*_*röm 24

不,你应该哈希他们.大多数用户在多个站点上拥有相同的密码,因此即使您的站点不是太敏感,也可能有其他具有相同用户名和密码的站点更敏感.

如果用户忘记了密码,请向他们发送新密码.

  • 我想大多数用户都希望你保密他们的信息,包括密码.保持用户满意是符合您的利益的.保持密码安全并不困难. (6认同)
  • @Jason - 我不知道你是否和用户一起工作过,但是在你的***网站发现泄漏后,你无法逃脱**.即使他们的密码是1234567.没办法.他们会责怪你,他们这样做是对的. (3认同)
  • 我认为,使用OpenID并没有真正的理由迫使用户在您的网站上创建一个单独的帐户.当你遇到问题时,责备用户为多个站点使用相同的密码是一个警察(每个想要你创建一个新帐户的小网站). (2认同)

Pav*_*sky 9

为什么进退两难?您可能不应该自己开发帐户管理系统.采取一些标准的密码管理组件,并节省自己的调试和安全漏洞.

  • 好主意.为了更进一步 - 我不知道人们对OpenId的反应有多正常,但这将是我的最爱. (2认同)

Dav*_*all 8

默认答案是YES,HASH(AND SALT)PASSWORDS,尖叫帽.

这样做的原因是大多数用户对他们登录的所有站点使用相同的密码,因此如果您的站点遭到入侵,那么所有这些密码都是公开的.

Kob*_*obi 7

密码敏感数据 - 人们在网站上使用它们,您不希望它泄露或可见 - 甚至不是您或您的程序员.

归档时间:

查看次数:

355 次

最近记录:

14 年 前
相关归档
任何人都可以确认phpMyAdmin AllowNoPassword可以与MySQL数据库一起使用吗? 50
哈希表 - 为什么它比数组更快? 47
密码生成器代码 13
urlsafe_b64encode总是以'='结尾?: 8
如何模糊扫描仪输入文字? 7
SQLLoader,密码包含@ -signs 4
将Hash声明为常量,在一行中使用Ruby中的默认值 3
错误检测代码为33个字节,检测位在前32个字节中翻转 1
与字符串匹配的键数 1
String对象的哈希值为0 -2
难疑归档
什么是正确的JSON内容类型? 9962
如何测试空的JavaScript对象? 2730
如何让Git忽略文件模式(chmod)的变化? 2188
删除包含特定字符串的文本文件中的行 1670
Python join:为什么是string.join(list)而不是list.join(string)? 1669
makefile中.PHONY的目的是什么? 1535
vim"用sudo写"技巧如何工作? 1347
在关系数据库中存储分层数据有哪些选项? 1281
MVC和MVVM有什么区别? 1275
生成0到9之间的随机整数 1224