Категорическая Статья

, Отправляющая учетные данные

единственный практический способ отправить учетным данным 100% надежно, при помощи SSL. Используя JavaScript для хеширования пароля не безопасно. Распространенные ошибки для клиентского хеширования пароля:

• , Если соединение между клиентом и сервером не шифруется, все, которое Вы делаете, уязвимы для атак "человек посередине" . Взломщик мог заменить входящий JavaScript, чтобы повредить хеширование или отправить все учетные данные на их сервер, они могли слушать клиентские ответы и исполнить роль пользователей отлично, и т.д. и т.д. SSL с доверенными центрами сертификации разработан для предотвращения нападений на MitM.
• хешированный пароль, полученный сервером, менее безопасен , если Вы не делаете дополнительной, избыточной работы над сервером.

существует другой безопасный метод, названный SRP, но это запатентовало (хотя это , свободно лицензировал ) и существует немного хороших доступных реализаций.

пароли Хранения

никогда не хранят пароли как простой текст в базе данных. Даже, если Вы не заботитесь о безопасности Вашего собственного сайта. Предположите, что некоторые Ваши пользователи снова используют пароль их банковского счета онлайн. Так, сохраните хешированный пароль и выбросьте оригинал. И удостоверьтесь, что пароль не обнаруживается в журналах доступа или журналах приложения. OWASP рекомендует использование Argon2 как Ваш предпочтительный вариант для новых приложений. Если это не доступно, PBKDF2 или сценарий должны использоваться вместо этого. И наконец если ни одно из вышеупомянутого не доступно, используйте bcrypt.

Хеши собой также небезопасны. Например, идентичные пароли означают идентичные хеши - это делает таблицы поиска хеша эффективным способом взломать много паролей сразу. Вместо этого сохраните , посолил хеш. Соль является строкой, добавленной к паролю до хеширования - используют различную (случайную) соль на пользователя. Соль является общедоступным значением, таким образом, можно снабдить их хешем в базе данных. См. здесь для больше на этом.

Это означает, что Вы не можете отправить пользователю их забытые пароли (потому что у Вас только есть хеш). Не изменяйте пароль пользователя, если Вы не аутентифицировали пользователя (пользователи должны доказать, что в состоянии прочитать электронные письма, посланные сохраненному (и проверил), адрес электронной почты.)

вопросы о безопасности

вопросы о безопасности небезопасны - избегают использования их. Почему? Что-либо, что вопрос о безопасности делает, пароль, добивается большего успеха. Читайте ЧАСТЬ III: Используя Секретные Вопросы в @Jens ответ Roland здесь в этой Wiki.

Сеансовые куки

После пользователя входят в систему, сервер отправляет пользователю сеансовые куки. Сервер может получить имя пользователя или идентификатор от cookie, но никто больше не может генерировать такой cookie (TODO объясняют механизмы).

Cookie могут быть угнаны : они только так же безопасны как остальная часть машины клиента и другой связи. Они могут быть считаны из диска, сниффингового в сетевом трафике, снятом атакой с использованием кросс-сайтовых сценариев, phished от отравленного DNS, таким образом, клиент отправляет их cookie на неправильные серверы. Не отправляйте персистентные cookie. Cookie должны истечь в конце клиентской сессии (браузер близко или отъезд Вашего домена).

, Если Вы хотите автовойти в систему свои пользователи, можно установить персистентный cookie, но это должно быть отлично от полных сеансовых куки. Можно установить дополнительный флаг, что пользователь автовошел в систему и должен войти в систему для реального для секретных операций. Это популярно у интернет-магазинов, которые хотят предоставить Вам бесшовный, персонализированный опыт шоппинга, но все еще защитить Ваши финансовые детали. Например, когда Вы возвращаетесь для посещения Amazon, они показывают Вам страницу, которая похожа, Вы зарегистрированы, но когда Вы идете для размещения заказа (или изменить адрес поставки, кредитная карта и т.д.), они просят, чтобы Вы подтвердили свой пароль.

Финансовые веб-сайты, такие как банки и кредитные карты, с другой стороны, только имеют уязвимые данные и не должны позволять автовход в систему или низкий режим безопасности.

Список внешних ресурсов

• Dos и Don'ts Аутентификации клиента в сети (PDF)
  академическая статья на 21 страницу со многими большими подсказками.
• Спрашивают YC: Лучшие практики для Аутентификации пользователя
  обсуждение Форума предмета
• Вы, Вероятно, Храните Пароли Неправильно
  статья Introductory о хранении паролей
• Обсуждение: Кодирование Ужаса: Вы, Вероятно, Храните Пароли Неправильно
  дискуссия Форума о статье Coding Horror.
• Никогда пароли хранилища в базе данных!
  Другое предупреждение о хранении паролей в базе данных.
• Пароль, раскалывающийся
  статья Wikipedia о слабых местах нескольких схем хеширования пароля.
• Достаточно С Таблицами Радуги: Что Вы Потребность Знать О Схемах Безопасного пароля
  Дискуссия о таблицах радуги и как защитить от них, и от других потоков. Включает обширное обсуждение.