मैं कुछ समय के लिए अपने डीबी में पासवर्ड कैसे स्टोर करना है, इस सवाल के आसपास फेंक रहा हूं। वेब लॉगिन के साथ एक सुरक्षित एप्लिकेशन बनाने में यह मेरा पहला समय है, इसलिए मैं कुछ अच्छे प्रथाओं को स्थापित करना चाहता था।पासवर्ड फ़ील्ड को हशिंग और सलाम करना
सबसे पहले, मैंने हैशिंग और नमकीन पर पढ़ा। ऐसा लगता है कि विचार है ...
- हैशिंग एल्गोरिथ्म हो जाओ उपयोगकर्ता से पासवर्ड प्राप्त
- जोड़े 'नमक' सादा पाठ पासवर्ड के लिए उपयोगकर्ता से पूरे पासवर्ड (नमक सहित)
- हैश
- स्टोर DB में नमक, ताकि आप
और वह मिल गया मुझे सोच ... एक हैकर अपने नमक जानता है (ख (PSWD के सत्यापन के लिए) बाद में इसे प्राप्त कर सकते हैं पारिस्थितिकी इसे डीबी में कहीं भी संग्रहीत किया जाता है, शायद this_is_not_the_salt_ur_looking_for या कुछ समान रूप से संदिग्ध नामक कॉलम) वे पासवर्ड शब्दकोश को पुन: उत्पन्न कर सकते हैं और पहुंच प्राप्त कर सकते हैं।
तब मुझे एक विचार था। क्या होगा यदि आपने अपने नमक को शेड पासवर्ड फ़ील्ड के अंदर संग्रहीत किया है।
xxxxxsaltvaluexxxxxxxxxxxxxxxx
जहां x टुकड़ों में बंटी स्ट्रिंग मान है: तो चरणों 1-4 (बेतरतीब ढंग से नमक पैदा करने), तो चरण 5 में, पासवर्ड कहीं पासवर्ड व्याख्या वर्ग या सेवा के द्वारा जाना जाता है में नमक डालने का पालन करें । क्या कोई इस के साथ कोई समस्या देख सकता है? क्या यह सिर्फ पूरी तरह से अनावश्यक है?
उत्तर:
ऐसा कोई कारण नहीं है कि यह नहीं किया जा सका। जैसा कि याहिया कहता है, पासवर्ड सुरक्षित करने के अन्य तरीकों में डबल (या एन) हैशिंग शामिल है। एक और नोट पर, बीसीक्रिप्ट लगभग पूरी तरह से ब्रूट फोर्स हमलों को रोकने की एक अच्छी विधि की तरह दिखता है, लेकिन मुझे सी #
धन्यवाद के लिए एक विश्वसनीय लाइब्रेरी नहीं मिल सका!
टीटीडी
मैं इसके बारे में सोचने के लिए धन्यवाद कर रहा हूं, इसके बारे में पूछने के लिए धन्यवाद । –