mboost-dp1
Vedr. opbevaring af password
Har lige to spørgsmål vedrørende opbevaring af brugeres password.
1) Er det korrekt forstået at man bør opbevare sine brugeres password krypteret i sine databaser?
2) Er det korrekt forstået at når brugernes password er opbevaret krypteret i sine databaser, at man bagefter ikke har mulighed for at sende det til brugeren?
Keepit.com er en online back-up tjeneste, som reklamere med meget høj sikkerhed (har endnu ikke set en backup service med reklamer for det modsatte). Men det første man modtager fra dem når man opretter en bruger er ens bruger navn og ens password. Er jeg den eneste der fornemmer en mislyd her?
Jeg har sendt en mail til deres support, men de har åbenbart misforstået mit spørgsmål og skriver: ”Vi sender ikke dit password krypteret.” Herefter de beskriver den kryptering som foregår når man overføre dokumenter til deres service.
1) Er det korrekt forstået at man bør opbevare sine brugeres password krypteret i sine databaser?
2) Er det korrekt forstået at når brugernes password er opbevaret krypteret i sine databaser, at man bagefter ikke har mulighed for at sende det til brugeren?
Keepit.com er en online back-up tjeneste, som reklamere med meget høj sikkerhed (har endnu ikke set en backup service med reklamer for det modsatte). Men det første man modtager fra dem når man opretter en bruger er ens bruger navn og ens password. Er jeg den eneste der fornemmer en mislyd her?
Jeg har sendt en mail til deres support, men de har åbenbart misforstået mit spørgsmål og skriver: ”Vi sender ikke dit password krypteret.” Herefter de beskriver den kryptering som foregår når man overføre dokumenter til deres service.
1) Ja ens bruger password børe være kryptert.
2) Nej, man kan godt dekrypter password men, kun med nogle algoritmer
http://da.wikipedia.org/wiki/Kryptering
2) Nej, man kan godt dekrypter password men, kun med nogle algoritmer
http://da.wikipedia.org/wiki/Kryptering
Passwords bør være hashet (IMO). De kan ikke reverses. I hvert fald ikke direkte.
At du opretter en konto og så den sender dine info, betyder ikke at de er usikre. Det kan være at de bare sender de rå info til dig selv først, før de krypterer/hasher passwordet og ligger det i databasen.
At du opretter en konto og så den sender dine info, betyder ikke at de er usikre. Det kan være at de bare sender de rå info til dig selv først, før de krypterer/hasher passwordet og ligger det i databasen.
#4 mange passwords sendes i tekst-format i et brev, der maskinpakkes, hvor menneskelig indblanden aldrig bliver involveret.
I andre tilfælde har admin adgang til passwords, og det kræver naturligvis blind tillid til denne.
I dit tilfælde har du vel modtaget det på mail, og det kan faktisk kun være et problem, hvis
1. de ikke bagefter erstatter det med en hashet udgave på serveren
2. din forbindelse er kompromitteret
3. du selv bærer dig dumt ad i forbindelse med opbevaring af passwords
I andre tilfælde har admin adgang til passwords, og det kræver naturligvis blind tillid til denne.
I dit tilfælde har du vel modtaget det på mail, og det kan faktisk kun være et problem, hvis
1. de ikke bagefter erstatter det med en hashet udgave på serveren
2. din forbindelse er kompromitteret
3. du selv bærer dig dumt ad i forbindelse med opbevaring af passwords
#1 vi gemmer ingen passwords i vores system i klar tekst, men i en kodet udgave (såkaldt hash'et). Når du logger på Keepit gennem applikation eller website, benyttes der sammenligning med password i den kodede udgave.
Herudover er alle dine data, som uploades med applikationen også krypteret med din helt egen unikke nøgle. Altså et ekstra niveau af sikkerhed. Jeg håber ovenstående kaster lidt mere lys på hvordan Keepit.com håndterer sikkerhed og passwords.
Er du lidt mere teknisk, kan det give god mening at læse artiklen på http://phpsec.org/articles/2005/password-hashing.h... som mere indgående forklarer hvordan passwords opbevares i kodede versioner med brug af Hashfunktionen.
Herudover er alle dine data, som uploades med applikationen også krypteret med din helt egen unikke nøgle. Altså et ekstra niveau af sikkerhed. Jeg håber ovenstående kaster lidt mere lys på hvordan Keepit.com håndterer sikkerhed og passwords.
Er du lidt mere teknisk, kan det give god mening at læse artiklen på http://phpsec.org/articles/2005/password-hashing.h... som mere indgående forklarer hvordan passwords opbevares i kodede versioner med brug af Hashfunktionen.
5 skrev:I andre tilfælde har admin adgang til passwords, og det kræver naturligvis blind tillid til denne.
På den anden side er passwords ikke det mest kritiske ved en admin. De har formentlig adgang til alt, uden brug af passwords.
(Medmindre man bruger samme password til små ligegyldige hjemmesider og vigtigere ting.)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Software
Gå til bund