当我继续建立越来越多的网站和网络应用程序时,我经常被要求存储用户的密码,如果/当用户有问题时,它们可以被检索(要么通过电子邮件发送一个忘记密码的链接,通过电话等),当我可以与这种做法作斗争时,我做了大量的“额外”编程,使密码重置和管理协助成为可能,而不存储他们的实际密码。
当我无法对抗它(或无法获胜)时,我总是以某种方式对密码进行编码,这样至少它不会以明文形式存储在数据库中——尽管我知道如果我的数据库被黑客攻击,罪犯不需要花费太多时间就能破解密码,所以这让我感到不舒服。
在一个完美的世界里,人们会经常更新密码,而不会在许多不同的网站上重复密码——不幸的是,我知道很多人都有相同的工作/家庭/电子邮件/银行密码,甚至在他们需要帮助的时候免费给我。如果我的数据库安全程序因为某种原因失败了,我不想成为他们财务崩溃的罪魁祸首。
从道德和伦理上讲,我觉得我有责任保护一些用户的生活,即使他们对他们的生活不那么尊重。
我确信有许多方法和论点可以用于盐散列和不同的编码选项,但当您必须存储它们时,是否存在单一的“最佳实践”?在几乎所有的情况下,我使用PHP和MySQL,如果这使任何不同的方式,我应该处理的细节。
Bounty的其他信息
我想澄清的是,我知道这不是你想要做的事情,在大多数情况下,拒绝这样做是最好的。然而,我并不是在寻求关于采用这种方法的优点的说教,我是在寻找如果你确实采用这种方法,应该采取的最佳步骤。
在下面的注释中,我指出了主要面向老年人、智障人士或非常年轻的人的网站,当他们被要求执行安全密码恢复程序时,他们会感到困惑。尽管在这些情况下,我们可能会发现这很简单,但有些用户需要额外的帮助,要么让服务技术人员帮助他们进入系统,要么通过电子邮件/直接显示给他们。
在这样的系统中,如果用户没有得到这种级别的访问帮助,来自这些人口统计数据的流失率可能会阻碍应用程序,所以请在回答时考虑到这样的设置。
谢谢大家
这是一个有趣的问题,有很多争论,我很喜欢。最后,我选择了一个答案,它既保留了密码安全性(我不必保留纯文本或可恢复的密码),又使我指定的用户群能够登录到一个系统,而不存在我在正常密码恢复中发现的主要缺陷。
像往常一样,由于不同的原因,大约有5个答案我想标记为正确,但我必须选择最好的一个——其余的都是+1。谢谢大家!
同时,感谢Stack社区中为这个问题投票和/或将其标记为最喜欢的人。我把获得100票作为一种赞美,希望这个讨论能帮助到和我有同样担忧的人。
想象一下,有人委托建造一座大型建筑——比方说一座酒吧——下面的对话发生了:
建筑师:对于这种规模和容量的建筑,这里、这里和这里都需要安全出口。
客户:不,那太复杂了,维护起来也太贵了,我不想要任何侧门或后门。
建筑师:先生,消防出口不是可有可无的,这是城市消防法规规定的。
客户:我付你钱不是让你争辩的。照我说的做。
建筑师是否会问如何在没有安全出口的情况下合乎道德地建造这栋建筑?
在建筑和工程行业,对话很可能是这样结束的:
建筑师:这栋建筑没有安全出口是建不起来的。你可以去找其他有执照的专业人士,他会告诉你同样的事情。我现在要走了;等你准备好合作了再打给我。
计算机编程可能不是一个有执照的职业,但人们似乎经常想知道为什么我们的职业没有得到与土木或机械工程师同样的尊重——好吧,不用再看了。这些职业,当遇到垃圾(或完全危险的)要求时,会简单地拒绝。他们知道这不是一个借口,“嗯,我尽力了,但他坚持,我必须按他说的做。”他们可能会因此被吊销执照。
我不知道您或您的客户是否是任何上市公司的一部分,但以任何可恢复的形式存储密码都会导致您无法通过几种不同类型的安全审计。问题不在于某些进入数据库的“黑客”要恢复密码有多难。绝大多数安全威胁来自内部。你需要防止的是一些心怀不满的员工拿走所有的密码,然后把它们卖给出价最高的人。使用非对称加密和将私钥存储在单独的数据库中绝对不能防止这种情况;总有人可以访问私人数据库,这是一个严重的安全风险。
没有道德或负责任的方式以可恢复的形式存储密码。时期。
想象一下,有人委托建造一座大型建筑——比方说一座酒吧——下面的对话发生了:
建筑师:对于这种规模和容量的建筑,这里、这里和这里都需要安全出口。
客户:不,那太复杂了,维护起来也太贵了,我不想要任何侧门或后门。
建筑师:先生,消防出口不是可有可无的,这是城市消防法规规定的。
客户:我付你钱不是让你争辩的。照我说的做。
建筑师是否会问如何在没有安全出口的情况下合乎道德地建造这栋建筑?
在建筑和工程行业,对话很可能是这样结束的:
建筑师:这栋建筑没有安全出口是建不起来的。你可以去找其他有执照的专业人士,他会告诉你同样的事情。我现在要走了;等你准备好合作了再打给我。
计算机编程可能不是一个有执照的职业,但人们似乎经常想知道为什么我们的职业没有得到与土木或机械工程师同样的尊重——好吧,不用再看了。这些职业,当遇到垃圾(或完全危险的)要求时,会简单地拒绝。他们知道这不是一个借口,“嗯,我尽力了,但他坚持,我必须按他说的做。”他们可能会因此被吊销执照。
我不知道您或您的客户是否是任何上市公司的一部分,但以任何可恢复的形式存储密码都会导致您无法通过几种不同类型的安全审计。问题不在于某些进入数据库的“黑客”要恢复密码有多难。绝大多数安全威胁来自内部。你需要防止的是一些心怀不满的员工拿走所有的密码,然后把它们卖给出价最高的人。使用非对称加密和将私钥存储在单独的数据库中绝对不能防止这种情况;总有人可以访问私人数据库,这是一个严重的安全风险。
没有道德或负责任的方式以可恢复的形式存储密码。时期。
刚刚看到这个有趣而热烈的讨论。
最让我惊讶的是,很少有人关注以下基本问题:
Q1。用户坚持访问纯文本存储的密码的实际原因是什么?为什么它这么有价值?
用户年龄大或小的信息并不能真正回答这个问题。但是,如果没有正确理解客户的关注点,如何做出业务决策呢?
为什么这很重要呢?
因为如果客户要求的真正原因是系统难以使用,那么解决具体原因可能会解决实际问题?
由于我没有这些信息,也无法与这些客户交谈,我只能猜测:这是关于可用性的,见上文。
我看到的另一个问题是:
Q2。如果用户一开始就不记得密码,为什么旧密码很重要?
这是可能的答案。
如果你有一只叫“miaumiau”的猫,用她的名字作为密码,但忘记了,你是更愿意被提醒它是什么,还是更愿意被发送像“#zy*RW(ew)”这样的信息?
另一个可能的原因是,用户认为想出一个新密码是一项艰巨的工作!所以,把旧密码发送回去给她一种错觉,让她不用再去做那件痛苦的工作了。
我只是想知道原因。但无论原因是什么,必须解决的是原因而不是原因。
作为用户,我希望事情简单!我不想努力工作!
如果我登录一个新闻网站看报纸,我想输入1111作为密码,然后就可以通过了!!
我知道这是不安全的,但我在乎别人访问我的“帐户”吗?是的,他也会看新闻!
网站是否存储我的“私人”信息?
我今天读的新闻?
那就是网站的问题,不是我的!
站点是否向已验证的用户显示私人信息?
那就先别表现出来!
这只是为了说明用户对问题的态度。
总之,我不认为这是一个如何“安全地”存储纯文本密码的问题(我们知道这是不可能的),而是如何解决客户实际关心的问题。
