タグ付けされた質問 「passwords」

これは単純なMD5よりもはるかに安全ですか？パスワードのセキュリティについて調べ始めたところです。PHPは初めてです。 $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."' AND password = '$password'"); if (mysql_num_rows($result) < 1) { /* Access denied */ echo "The username or password you entered is incorrect."; } else { $_SESSION['id'] = mysql_result($result, 0, 'id'); #header("Location: ./"); echo …

169 php  security  passwords  salt  password-hash 

パスワードに最小の長さを課すことは（ユーザーを自分自身から保護するために）意味があると理解できますが、私の銀行ではパスワードの長さが6〜8文字である必要があるため、疑問に思い始めました... これはブルートフォース攻撃を簡単にするだけではないでしょうか？（悪い） これは私のパスワードが暗号化されずに保存されていることを意味しますか？（悪い） （うまくいけば）彼らのために働いている優れたITセキュリティ専門家がいる誰かがパスワードの最大長を課している場合、私は同様のことを考えるべきですか？これの長所/短所は何ですか？

162 security  encryption  passwords 

MVC 5とASP.NET Identity Frameworkに付属するUserManagerにデフォルトで実装されているPassword Hasherが十分に安全かどうか疑問に思っています。もしそうなら、それがどのように機能するかを私に説明できますか？ IPasswordHasherインターフェイスは次のようになります。 public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); } ご覧のように、ソルトは使用しませんが、このスレッドで言及されています： " Asp.net Identity password hashing "は、バックグラウンドでソルトを実行します。それで、これはどのように行われるのでしょうか？そして、この塩はどこから来たのですか？ 私の懸念は、塩が静的であり、非常に安全ではないことです。

162 c#  asp.net  security  passwords  asp.net-identity 

私はいつも好奇心旺盛でした...ハッシュのためにパスワードをソルトするときにどちらが良いですか：プレフィックス、またはポストフィックス？どうして？それとも、塩漬けであれば問題ありませんか？ 説明するには：データベースに保存するためにパスワードをハッシュする前に、パスワードをソルトする必要があることを（願わくば）わかっているはずです[ 編集：最近Jeff Atwoodで起こったことなどを避けることができます]。通常、これはソルトをパスワードと連結してから、ハッシュアルゴリズムに渡すことによって行われます。しかし、例は異なります...一部の例は、パスワードの前にソルトを付加します。一部の例では、パスワードの後にソルトを追加しています。塩を真ん中に入れようとする人も見ました。 それで、どちらがより良い方法で、なぜですか？ハッシュの衝突の可能性を減らす方法はありますか？私のグーグルは、そのテーマに関してまともな分析をしていません。 編集：すばらしい回答者の皆さん！一つだけ答えてすみませんでした。:)

162 hash  cryptography  passwords  salt 

現在のところ、この質問は、Q＆A形式には適していません。私たちは回答が事実、参考文献、専門知識によってサポートされることを期待しますが、この質問はおそらく議論、議論、投票、または拡張された議論を誘います。この質問が改善され、場合によっては再開できると思われる場合は、ヘルプセンターにアクセスしてください。 7年前休業。 「パスワードを忘れた」機能を実装するための最良の方法を探しています。 私は2つのアイデアを思い付きます： ユーザーがパスワードを忘れたをクリックすると、ユーザーはユーザー名、電子メール、そしておそらく生年月日または姓を入力する必要があります。その後、一時的なパスワードが記載されたメールがユーザーのメールアカウントに送信されます。ユーザーは一時パスワードを使用してログインし、パスワードをリセットします。 同様ですが、メールにはユーザーがパスワードをリセットできるリンクが含まれます。 または、誰かが私にもっと良い安全な方法を提案できますか？また、一時的なパスワードまたはリンクを送信し、ユーザーに24時間以内にパスワードをリセットするように強制します。そうしないと、一時的なパスワードまたはリンクが使用できなくなります。どうやってするか？

154 security  authentication  passwords  forgot-password 

suor sudoまたはを実行するCシェルプログラムを作成していsshます。彼らはすべて、stdinやコマンドラインではなく、コンソール入力（TTY）でパスワードを必要としています。 誰かが解決策を知っていますか？ パスワードなしの設定sudoはオプションではありません。 期待する オプションかもしれませんが、それは私の簡素化されたシステムには存在しません。

148 linux  ssh  passwords  sudo  su 

mysqlで新しいユーザーを構文で作成したい： create user 'demo'@'localhost' identified by 'password'; しかし、それはエラーを返します： パスワードは現在のポリシー要件を満たしていません。 多くのパスワードを試しましたが、機能しません。どうすれば修正できますか？

148 mysql  passwords 

私が行っていることは、実際にはパスワードをソルト処理するのではなく、それらをペパーリングすることであることがわかったディスカッションに出会い、それ以来、次のような関数で両方を実行し始めました。 hash_function($salt.hash_function($pepper.$password)) [multiple iterations] 選択したハッシュアルゴリズムを無視します（これはソルト＆ペッパーの説明であり、特定のアルゴリズムではありませんが、安全なアルゴリズムを使用しています）、これは安全なオプションですか、それとも何か別のことをする必要がありますか？用語に不慣れな方のために： 塩は、通常、それが不可能なパスワードをクラックするハッシュテーブルを使用するようにするために設計されたデータベース内の文字列を格納し、ランダムに生成された値です。各パスワードには独自のソルトがあるため、パスワードを解読するためにすべて個別にブルートフォースする必要があります。ただし、ソルトはパスワードハッシュとともにデータベースに格納されるため、データベースのセキュリティが侵害されると、両方が失われます。 唐辛子は秘密であることが意図されている（通常は、アプリケーションのソースコードにハードコードされた）データベースとは別に格納されているサイト全体の静的な値です。これは、データベースが侵害されてもアプリケーション全体のパスワードテーブルがブルートフォース可能にならないようにするために使用されます。 不足しているものはありますか？ユーザーのセキュリティを保護するために、パスワードをソルト＆ペッパーリングするのが最良のオプションですか？この方法で行うことには、潜在的なセキュリティ上の欠陥はありますか？ 注：説明のために、アプリケーションとデータベースは別々のマシンに格納されていると仮定します。パスワードは共有しないでください。したがって、データベースサーバーの違反が、アプリケーションサーバーの違反を自動的に意味するわけではありません。

145 security  hash  passwords  salt  password-hash 

私のパスワード強度基準は以下の通りです： 8文字の長さ 大文字の2文字 1特殊文字 (!@#$&*) 2桁の数字 (0-9) 小文字の3文字 誰かが私に正規表現を教えてくれますか？すべての条件がパスワードで満たされている必要があります。

142 regex  passwords 

この質問に現在投票されているトップは次のように述べています： セキュリティ関連ではありますが、それほどセキュリティの問題ではないもう1つの問題は完全であり、パスワードのハッシュと暗号化の違いを理解するのに失敗しています。最も一般的に見られるのは、プログラマーが安全でない「パスワードを思い出させる」機能を提供しようとしているコードです。 この違いは正確には何ですか？ハッシュは暗号化の一種だといつも思っていました。投稿者が言及している危険な機能とは何ですか？

140 security  language-agnostic  encryption  hash  passwords 

私は、APIキーと秘密キーがどのように機能するかについて考え始めています。わずか2日前に、Amazon S3にサインアップし、S3Foxプラグインをインストールしました。アクセスキーとシークレットアクセスキーの両方を求められましたが、どちらにもアクセスするにはログインが必要です。 彼らが私の秘密鍵を求めているのなら、彼らはそれをどこかに正しく保管しているに違いないのではないかと思います。基本的に、クレジットカード番号やパスワードを尋ねて、自分のデータベースに保存するのと同じではありませんか。 秘密鍵とAPI鍵はどのように機能するはずですか？彼らはどのくらい秘密にする必要がありますか？秘密鍵を使用するこれらのアプリケーションは、何らかの方法でそれを格納していますか？

136 security  amazon-s3  passwords  api-key  secret-key 

私のアプリには、ユーザーがパスワードを入力する必要があるtextFieldがあり、ユーザーが文字を入力したときにそれを「•」に変更したいのですが、どうすればよいですか？

132 swift  passwords 

ログインシステムを導入するときは、常に、指定されたパスワードのMD5をサーバー側のユーザーテーブルの値と比較します。 しかし、私の友人は、「クリアな」パスワードがネットワークソフトウェアによって盗聴される可能性があると私に言った。 だから私の質問は：クライアント側でパスワードをハッシュするのは良い考えですか？サーバー側でハッシュするよりも良いですか？

132 passwords  client-side  hash 

phpMyAdminで「ルート」という言葉はどういう意味ですか？ localhost/phpmyadminアドレスバーに書き込むたびに、ユーザー名とパスワードを入力するように求められますが、それらが何であるかわかりません。いつ、どこで設定したか覚えていません。phpMyAdminにログインするためのユーザー名とパスワードはどこから取得できますか？

130 php  mysql  windows  phpmyadmin  passwords 

私はgitプライベートリポジトリからダウンロードする自動ビルドサービスを持っています。問題は、リポジトリのクローンを作成するときに、パスワードが記憶されていないため、パスワードを提供する必要があることです。そのため、人間の操作がないため、パスワードを永久に待機します。id_rsa.pubから覚えさせるにはどうすればよいですか？

125 windows  git  passwords  ssh-keys