【发布时间】:2012-07-09 06:51:34
【问题描述】:
网站安全: 用户要么重新登录 要么 从 cookie 中提取密码并登录(如果 cookie 密码无效,则被拒绝)。 + 多次登录失败导致拒绝。
密码经过 md5 散列和随机数加盐。
我的问题是,这不合适吗?
我知道它并不完全安全。有人可以访问用户的 cookie,破解散列的 cookie,然后知道用户密码。
但是,它是否相当安全?从某种意义上说,在任何地方存储纯文本密码是不道德的,这在某种程度上是不道德的吗?
【问题讨论】:
-
以明文形式存储密码总是一个坏主意,无论您将密码存储在何处。
-
不,不,不,不。不要使用 md5 散列密码以存储在 cookie 特别是中。
-
一个会话标识符,或者一个更持久的'keep-me-logged-in' cookie,应该与凭据无关。随机更好,通过将其存储在某处进行验证。
-
既然已经可以使用哈希进行身份验证,为什么还要破解哈希?
-
@gumbo 本机通行证可用于多个站点等。
标签: php security cookies hash passwords