Techniky autentifikace

[anonym]

Jaká je nejlepší autentifikace v poměru "implementační náročnost/bezpečnost"?

Můj námět:

Pro uložení n-tice (user, password, roles) do databáze použít pro password MD5 a Salt, viz. https://en.wikipedia.org/wiki/Salt_(cryptography)

Jako Salt bych nejraději použil username namísto nějakého náhodného řetězce, je to vhodné?

A další otázka, jak bezpečně posílat heslo přes HTTP, jedině přes HTTPS nebo existuje i jiná možnost? Např. generování MD5 sumy v javascriptu.

[Reklama]

[Kit]

Co mají všichni s tou MD5, která se na ukládání hesel nehodí a ještě se musí zbytečně ukládat sůl?

[kkt1]

Koupil si v levnych knihach 20let starou prirucku programujeme v PHP3.0... na MD5 zapomen.

[Lol Phirae]

Můj námět:

Můj námět - přestaň znovuvynalézat hranaté kolo.

[David]

Jaká je nejlepší autentifikace v poměru "implementační náročnost/bezpečnost"?

Co mate s tou "autentifikaci" cesky je to jen AUTENTIZACE vsechno ostatni jsou patvary...

[Reklama]

[ttxx]

salt dynamicky generuj ....
a input data sifruj a generuj salt z sifrovanych dat))

takhle to bude secure (ignoruj lidi co nedokazou security... kdyz sifrujes tak to bezpecne bude)

[anonym]

MD5 ne a username misto nahodneho retezce taky ne.

[ttxx]

MD5 ne a username misto nahodneho retezce taky ne.

ja treba pouzivam sha 512 a silnejsi + vicenasobne sifrovani i generovani saltu ze sifrovanych dat)) takze max secure))
(s pouzitym funkce crypt samozrejme)

[Jenda]

Jaká je nejlepší autentifikace v poměru "implementační náročnost/bezpečnost"?

Použít hotové funkce vašeho frameworku/knihovny/serveru.

A další otázka, jak bezpečně posílat heslo přes HTTP

Blbě, protože prohlížeče bezpečné metody autentizace (kdy se heslo nepřenáší, nebo se používá asymetrická kryptografie atd.) neimplementují buď vůbec, nebo zoufale blbě. S tím ale jako jednotlivec nic nenaděláte, takže vám nezbývá, než použít nějaký workaround, který váš framework nabízí.

[Trollopata]

Jaká je nejlepší autentifikace autentizace...

Pro uložení n-tice (user, password, roles)...

Role autentizace neřeší. Ty patří do autorizace. Opravdu bych doporučil nevynalézat kolo, které navíc bude ve výsledku hranaté (a to pak raději běžte psát sobotní komix ;-)).

[Youda]

Na nejakou databazi se proboha vyser a nauc se pouzivat OpenLDAP.

[j]

... neimplementují buď vůbec, nebo zoufale blbě...

jj, soudruzi v chrozille(o tech ostatnich netreba mluvit) totiz nemaji cas, resej jak budou posilat vsechno do cmoudu

... jak bezpečně posílat heslo přes HTTP...

Jde to, ale ma to jeden hak(mozna spis kotvu) ... bez zasahu ala admin se neodhlasis. Muzes pouzit http digest, ze to hnusne vypada, s tim se da zit, ale potiz je prave v tom, ze neexistuje zadnej rozumnej zpusob jak jednou prihlasenej browser odhlasit.

Podobny je to s prihlasovanim klicem, coz je prozmenu jeste vetsi vopicarna ze strany usera (na to ze by si to zvladal zprovoznit BFU ve svym browseru rovnou zapomen).

Mimochodem, posilat hesla pres https taky neni ani trochu bezpecny, ve finale je totiz  uplne jedno jestli si tvoje hesla cte nekdo cestou, nebo jestli si je cte nekdo na serveru. V pripade bezpecnych zpusobu prihlasovani server tvoje heslo nikdy nesmi videt a nesmi mit ani zadnou moznost jak se k nemu dostat (= i vsemozny pseudoreseni javascriptem jsou khovnu uplne stejne, protoze kdo ma pristup k serveru ti muze kdykoli zmenit i ten script)

[ttxx]

anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani))))) ... teda pokud potrebujes php)))

[Jenda]

ale potiz je prave v tom, ze neexistuje zadnej rozumnej zpusob jak jednou prihlasenej browser odhlasit.

Ctrl+Shift+Del, Clear Active Logins. Ano, odhlásí to všechny weby najednou.

anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani))))) ... teda pokud potrebujes php)))

Ano, vynalézat vlastní šifrování, protože to určitě udělám líp než protokol léta prohlížený odborníky, a určitě tam nenadělám žádné začátečnické chyby, to je klíčem k úspěchu!

[ttxx]

ale potiz je prave v tom, ze neexistuje zadnej rozumnej zpusob jak jednou prihlasenej browser odhlasit.

Ctrl+Shift+Del, Clear Active Logins. Ano, odhlásí to všechny weby najednou.

anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani))))) ... teda pokud potrebujes php)))

Ano, vynalézat vlastní šifrování, protože to určitě udělám líp než protokol léta prohlížený odborníky, a určitě tam nenadělám žádné začátečnické chyby, to je klíčem k úspěchu!

mno pokud jse spolehas na "odborniky" tak jses radnej pako)) koukni jse na cpu vyvojare, misto kopirovani stejneho (treba cpu intel chyby a features) jsi jedou open-source(nebo half-open source) a dokonale zastoupi "vseobecne uznano nejlepsi metodu")))