运维开发网

安全性 – 在cookie中存储(散列)密码是否安全?

运维开发网 https://www.qedev.com 2020-07-11 11:06 出处:网络 作者:运维开发网整理
我已经阅读了一些关于SO的文章和问题(例如 here),说你不应该在cookie中存储用户的密码.如果密码被盐渍和散列,为什么这个不安全? 特别是,为什么它不如使用会话安全,通常建议的替代方案?如果用户想要保持登录状态,那么这个新的cookie(具有会话ID /哈希)肯定与具有用户密码的cookie一样安全吗?如果cookie在某种程度上“被盗”,攻击者可以以相同的方式以用户身份登录. 编辑:问题
我已经阅读了一些关于SO的文章和问题(例如 here),说你不应该在cookie中存储用户的密码.如果密码被盐渍和散列,为什么这个不安全?

特别是,为什么它不如使用会话安全,通常建议的替代方案?如果用户想要保持登录状态,那么这个新的cookie(具有会话ID /哈希)肯定与具有用户密码的cookie一样安全吗?如果cookie在某种程度上“被盗”,攻击者可以以相同的方式以用户身份登录.

编辑:问题的主要症结是关于用户保持登录的部分,即通过“记住我?”复选框.在这种情况下,肯定只有一个会话?

会话通常在某种程度上与IP地址相关联,这有点可以防止会话被盗.

除此之外,会话ID不包含任何个人信息;你的密码,甚至盐渍和哈希.密码,盐渍和散列,可以重复使用;会话ID不能.一旦会话结束,它就结束了,您需要一个新的会话ID才能再次模拟用户.

0

精彩评论

暂无评论...
验证码 换一张
取 消