pic*_*cus 3 security passwords django
寻找反馈.我正在构建一个django应用程序,用户可以随机获得密码.
目前,使用django auth中的make_random_password()函数生成密码.
但是,早期的反馈是电子邮件太难记住(即使用户可以更改它们).
这是一个封闭的(仅限邀请)应用程序,但它存在于互联网上.共有约600名用户.我有一个我认为有点不安全的解决方案,但我想由SO用户运行它,因为它解决了反馈问题
在我的settings.py文件中,我创建了两个列表,一个包含大约20个汽车名称,另一个包含大约40个动词(大写).
我是从每个列表中随机选择一个,将它们连接在一起,然后在最后添加几个随机字符.
所有密码的长度至少为9个字符,使用django的set_password()函数进行哈希处理时
我看到的最大问题是,如果有人要访问SFTP服务器,他们就可以访问我的代码,从而获得破解密码的模板.
但他们也会有数据库访问等,所以它真的是一个问题吗?
您应始终假设攻击者可以访问您的密码生成方案.假设他不是通过默默无闻地信任安全性而基于您的安全性.Obscurity可以提供一个很好的安全奖励,但你永远不应该依赖它.
您必须假设攻击者知道两个列表的内容.例如,他可以简单地注册大约40次,然后知道它们中的很大一部分.
你的汽车名称与动词一起有大约9.6(= log2(20)+ log2(40))位的熵.对应于大约2个随机字符.那非常低.
| 归档时间: |
|
| 查看次数: |
344 次 |
| 最近记录: |