当我继续建立越来越多的网站和网络应用程序时,我经常被要求存储用户的密码,如果/当用户有问题时,它们可以被检索(要么通过电子邮件发送一个忘记密码的链接,通过电话等),当我可以与这种做法作斗争时,我做了大量的“额外”编程,使密码重置和管理协助成为可能,而不存储他们的实际密码。
当我无法对抗它(或无法获胜)时,我总是以某种方式对密码进行编码,这样至少它不会以明文形式存储在数据库中——尽管我知道如果我的数据库被黑客攻击,罪犯不需要花费太多时间就能破解密码,所以这让我感到不舒服。
在一个完美的世界里,人们会经常更新密码,而不会在许多不同的网站上重复密码——不幸的是,我知道很多人都有相同的工作/家庭/电子邮件/银行密码,甚至在他们需要帮助的时候免费给我。如果我的数据库安全程序因为某种原因失败了,我不想成为他们财务崩溃的罪魁祸首。
从道德和伦理上讲,我觉得我有责任保护一些用户的生活,即使他们对他们的生活不那么尊重。
我确信有许多方法和论点可以用于盐散列和不同的编码选项,但当您必须存储它们时,是否存在单一的“最佳实践”?在几乎所有的情况下,我使用PHP和MySQL,如果这使任何不同的方式,我应该处理的细节。
Bounty的其他信息
我想澄清的是,我知道这不是你想要做的事情,在大多数情况下,拒绝这样做是最好的。然而,我并不是在寻求关于采用这种方法的优点的说教,我是在寻找如果你确实采用这种方法,应该采取的最佳步骤。
在下面的注释中,我指出了主要面向老年人、智障人士或非常年轻的人的网站,当他们被要求执行安全密码恢复程序时,他们会感到困惑。尽管在这些情况下,我们可能会发现这很简单,但有些用户需要额外的帮助,要么让服务技术人员帮助他们进入系统,要么通过电子邮件/直接显示给他们。
在这样的系统中,如果用户没有得到这种级别的访问帮助,来自这些人口统计数据的流失率可能会阻碍应用程序,所以请在回答时考虑到这样的设置。
谢谢大家
这是一个有趣的问题,有很多争论,我很喜欢。最后,我选择了一个答案,它既保留了密码安全性(我不必保留纯文本或可恢复的密码),又使我指定的用户群能够登录到一个系统,而不存在我在正常密码恢复中发现的主要缺陷。
像往常一样,由于不同的原因,大约有5个答案我想标记为正确,但我必须选择最好的一个——其余的都是+1。谢谢大家!
同时,感谢Stack社区中为这个问题投票和/或将其标记为最喜欢的人。我把获得100票作为一种赞美,希望这个讨论能帮助到和我有同样担忧的人。
我也有同样的问题。同样的,我总是认为有人入侵我的系统不是“如果”的问题,而是“什么时候”的问题。
所以,当我必须做一个网站,需要存储一个可恢复的机密信息,如信用卡或密码,我所做的是:
使用openssl_encrypt(字符串$data,字符串$method,字符串$password)进行加密
PHP手册。
数据参数:
敏感资料(例如用户密码)
如果需要,序列化,例如,如果信息是一个数据数组,如多个敏感信息
密码arg:使用一个只有用户知道的信息,比如:
用户牌照
社会保险号码
用户电话
用户母名
在注册时通过电子邮件和/或短信发送的随机字符串
方法参数:
选择一种密码方法,如“aes-256-cbc”
永远不要将password参数中使用的信息存储在数据库(或系统中的任何地方)
当需要检索此数据时,只需使用“openssl_decrypt()”函数并向用户询问答案。例如:“要收到你的密码,请回答这个问题:你的手机号码是多少?”
PS 1:永远不要将存储在数据库中的数据用作密码。如果您需要存储用户的手机号码,那么永远不要使用此信息来编码数据。总是使用只有用户知道的信息,或者非亲属很难知道的信息。
PS 2:信用卡信息,比如“一键购买”,我所做的就是使用登录密码。这个密码在数据库中哈希(sha1, md5等),但在登录时,我将明文密码存储在会话或非持久性(即在内存中)安全cookie中。这个简单的密码永远不会留在数据库中,实际上它总是留在内存中,在节结束时销毁。当用户点击“一键购买”按钮时,系统使用此密码。如果用户使用facebook, twitter等服务登录,那么我会在购买时再次提示密码(好吧,这不是完全的“点击”),然后使用用户曾经登录的服务的一些数据(如facebook id)。
用另一种方法或角度来解决这个问题怎么样?询问为什么密码必须是明文:如果是为了让用户可以检索密码,那么严格地说,您实际上不需要检索他们设置的密码(他们不记得它是什么),您需要能够为他们提供一个他们可以使用的密码。
想想看:如果用户需要检索密码,那是因为他们忘记了密码。在这种情况下,新密码和旧密码一样有效。但是,目前使用的常用密码重置机制的缺点之一是,在重置操作中生成的密码通常是一堆随机字符,因此用户很难正确地输入它们,除非他们复制-粘贴。对于不太精明的电脑用户来说,这可能是个问题。
解决这个问题的一种方法是提供自动生成的密码,这些密码或多或少是自然语言文本。虽然自然语言字符串可能没有相同长度的随机字符字符串的熵,但没有人说你的自动生成的密码只需要8个(或10个或12个)字符。通过将几个随机单词串在一起来获得一个高熵自动生成的密码短语(在它们之间留出一个空间,以便能够阅读的人仍然可以识别和键入它们)。6个不同长度的随机单词可能比10个随机字符更容易正确输入,而且它们的熵也更高。例如,从大写字母、小写字母、数字和10个标点符号(总共72个有效符号)中随机抽取的10个字符的密码的熵值为61.7比特。使用7776个单词的字典(如Diceware所使用的),可以随机选择6个单词的密码短语,密码短语的熵将为77.4位。更多信息请参见Diceware FAQ。
一个约77比特熵的密码短语:“承认散文耀斑表敏锐的天赋”
一个约有74位熵的密码:“K:&$R^tt~qkD”
我知道我更喜欢输入短语,使用复制-粘贴,短语也不会比密码更容易使用,所以没有损失。当然,如果你的网站(或任何受保护的资产)不需要77位熵来自动生成密码短语,那就生成更少的单词(我相信你的用户会喜欢的)。
我理解有人的观点,有些受密码保护的资产实际上没有很高的价值,所以密码被泄露可能不是世界末日。例如,我可能不会在意我在各种网站上使用的80%的密码被破解:唯一可能发生的事情就是有人用我的名字发垃圾邮件或发帖。那样不太好,但他们又不会侵入我的银行账户。然而,鉴于许多人在他们的论坛网站上使用的密码与他们的银行账户密码(可能还有国家安全数据库密码)相同,我认为最好将这些“低价值”密码作为不可恢复的密码来处理。