من به دنبال الگوهای مشخصی برای نحوه یابی به هش رمز عبور ذخیره شده و هش رمز عبور برای تلاش برای ورود به سیستم فعلی هستم. این اصولی است که من به دنبال جلب رضایت هستم. فکر می کنم:
1) زمان حمل و نقل رمزعبور متن ساده -> رمز عبور هش را بلافاصله پس از ارسال POST به حداقل برساند. من می دانم که هش کردن سمت مشتری می تواند با هش سمت سرور ترکیب شود ، اما من در حال حاضر این را در نظر نمی گیرم.
2) حمل و نقل هش ذخیره شده (صحیح) را به حداقل برسانید -> این هش معتبر است ، بنابراین سعی کنید به حداقل برسانید حمله به منطقه هش رمز عبور را برای تلاش برای ورود به سیستم فعلی به فضای ذخیره سازی هش (یا نزدیکی آن) بیاورید.
با توجه به نحوه استفاده از هش ذخیره شده ، من منبع ای پیدا کردم که در مورد استفاده از یک جدول جداگانه (یا DB) با آن بحث می کرد. اعتبار جداگانه ، و مراحل ذخیره شده برای مقایسه هش ورود به سیستم ورودی. با این حال ، من دوباره نمی توانم آن منبع را پیدا کنم. اگر کسی پیوندی معتبر برای بحث درباره این موضوع داشته باشد ، من علاقه مند خواهم شد.
در پایان ، من به روشی متمایل می شوم که امنیت خوبی داشته باشد ، و انجام کار صحیح بسیار آسان است. من می خواهم از روشی جلوگیری کنم که باید بهترین امنیت را ارائه دهد ، اما انجام صحیح کار دشوار است ، از این طریق منافع امنیتی را از دست می دهید.
Q : در بعضی از مواقع ، من نیاز به مقایسه هش ذخیره شده با هشدار ورود به سیستم است ، اما مشخص نیست از کجا باید این کار را انجام دهم. آیا یک مکان معمولاً پذیرفته شده در کد برای انجام این کار وجود دارد؟
س : آیا جنبه های دیگری از مدیریت هش وجود دارد که من تاکنون نادیده گرفته ام؟
