Génie logiciel passwords

15

Pourquoi les mots de passe devraient-ils être cryptés s'ils sont stockés dans une base de données sécurisée?

J'ai un service web. À l'heure actuelle, les mots de passe sont stockés en texte brut dans une table MySQL sur mon serveur. Je sais que ce n'est pas la meilleure pratique, et c'est pourquoi je travaille dessus. Pourquoi les mots de passe devraient-ils être cryptés s'ils sont stockés dans …

78 mysql encryption passwords

10

Existe-t-il des raisons valables pour interdire les caractères et limiter la longueur des mots de passe?

J'ai rencontré pas mal de sites qui limitent la longueur des mots de passe et / ou interdisent l'utilisation de certains caractères. Cela me limite car je veux élargir et allonger l'espace de recherche de mon mot de passe. Cela me donne également le sentiment inconfortable qu’ils ne soient peut-être …

39 security passwords

14

Et si le client a besoin de la capacité de récupérer des mots de passe?

J'ai actuellement hérité d'une application au travail et, à mon grand désarroi, je me suis rendu compte que les mots de passe des utilisateurs stockés dans la base de données sont cryptés à l'aide d'une fonction de cryptage interne, qui inclut également la possibilité de décrypter. Il suffit donc de …

34 security client-relations passwords

6

Mise à jour du hachage du mot de passe sans forcer un nouveau mot de passe pour les utilisateurs existants

Vous gérez une application existante avec une base d'utilisateurs établie. Au fil du temps, il est décidé que la technique de hachage de mot de passe actuelle est obsolète et doit être mise à niveau. De plus, pour des raisons UX, vous ne voulez pas que les utilisateurs existants soient …

32 security language-agnostic passwords

6

Mettre un mot de passe dans un appel d'API REST

Supposons que j'ai une API REST qui est également utilisée pour définir / réinitialiser les mots de passe. Supposons également que cela fonctionne sur une connexion HTTPS. Y a-t-il une bonne raison de ne pas mettre ce mot de passe dans le chemin d'appel, disons également que je vais le …

31 rest passwords

5

Comment mettre en œuvre un historique de mot de passe sûr

Les mots de passe ne doivent pas être stockés en texte brut pour des raisons de sécurité évidentes: vous devez stocker les hachages, et vous devez également générer le hachage avec soin pour éviter les attaques de table arc-en-ciel. Cependant, vous devez généralement stocker les n derniers mots de passe …

23 security passwords

7

Citations pour inadvertance d'un mot de passe unique au monde

Je suis en désaccord avec quelqu'un (un client) sur le processus d'identification / d'authentification des utilisateurs d'un système. Le nœud du problème est qu'ils veulent que chaque utilisateur ait un mot de passe unique au monde (c'est-à-dire que deux utilisateurs ne peuvent pas avoir le même mot de passe). J'ai …

20 security passwords

9

Un «si mot de passe == XXXXXXX» est-il suffisant pour une sécurité minimale?

Si je crée une connexion pour une application qui présente un risque de sécurité moyen à faible (en d'autres termes, ce n'est pas une application bancaire ou quoi que ce soit), est-il acceptable pour moi de vérifier un mot de passe entré par l'utilisateur en disant simplement quelque chose comme: …

20 security passwords validation

5

"Mot de passe oublié" - Comment gérer cela?

J'ai lu cette réponse et trouvé un commentaire insistant pour ne pas envoyer de mot de passe par email: les mots de passe ne devraient pas pouvoir être récupérés par e-mail, je déteste ça. Cela signifie que mon mot de passe est stocké en texte brut quelque part. il doit …

18 programming-practices security email passwords

1

Existe-t-il une norme officielle concernant les pratiques de stockage des mots de passe des utilisateurs?

J'ai récemment utilisé un service gouvernemental pour lequel j'avais un compte il y a des années. Je ne me souvenais pas de mon mot de passe pour le service, j'ai donc utilisé le lien "mot de passe oublié" et j'ai été étonné de voir que ce site Web du gouvernement …

17 security standards passwords

6

Comment garantir aux utilisateurs que le site Web et les mots de passe sont sécurisés [fermé]

Fermé . Cette question est basée sur l'opinion . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin d'y répondre avec des faits et des citations en modifiant ce message . Fermé il y a 4 ans . Sur des sites Web fiables, …

15 security ethics encryption passwords hashing

4

Comment estimer l'entropie d'un mot de passe?

Après avoir lu diverses ressources sur la force des mots de passe, j'essaie de créer un algorithme qui fournira une estimation approximative de la quantité d'entropie d'un mot de passe. J'essaie de créer un algorithme aussi complet que possible. À ce stade, je n'ai qu'un pseudocode, mais l'algorithme couvre les …

14 algorithms passwords

8

Punir les utilisateurs pour les mots de passe non sécurisés [fermé]

Dans l'état actuel des choses, cette question ne convient pas à notre format de questions / réponses. Nous nous attendons à ce que les réponses soient étayées par des faits, des références ou une expertise, mais cette question suscitera probablement un débat, des arguments, des sondages ou une discussion approfondie. …

13 security passwords authorization risk permissions

5

Si les mots de passe sont stockés hachés, comment un ordinateur pourrait-il savoir que votre mot de passe est similaire au dernier si vous essayez de réinitialiser votre mot de passe?

Si les mots de passe sont stockés hachés, comment un ordinateur pourrait-il savoir que votre mot de passe est similaire au dernier si vous essayez de réinitialiser votre mot de passe? Les deux mots de passe ne seraient-ils pas totalement différents puisqu'un est haché et ne peut pas être inversé?

11 database security hashing passwords

1

Lors de la création du compte, est-il préférable de générer automatiquement le mot de passe et de l'envoyer à l'utilisateur, ou de laisser l'utilisateur créer son propre mot de passe?

Cette question a été posée aujourd'hui lors d'une discussion avec un collègue sur la page "créer un compte" du site Web sur lequel nous travaillons. L'opinion de mon collègue est que nous devrions rendre l'enregistrement aussi rapide et transparent que possible, donc nous devons simplement demander à l'utilisateur son e-mail …

11 security passwords

Questions marquées «passwords»