27еместо
Реформал.Ру « все идеи проекта

120

-10
+130

Изменить способ хранение пользовательских паролей

При запросе утерянного пароля на e-mail приходит пароль который был указан при регистрации.

Т.е. пароли на сервере хранятся в открытом виде и если вдруг найдут уязвимость то смогут увести ~100% аккаунтов.

Rostov114, 25.06.2010, 13:25
Статус идеи: ожидает рассмотрения

Комментарии

sholky, 06.07.2010, 22:04
Вспомните хотябы прецендент с сайтом ВКонтакте.Ру.

Храните только хэш пароля, но его самого!
kemreal, 19.07.2010, 08:24
А еще лучше - хэш хэша.
maxim-oleinik, 15.11.2010, 18:04
+1
А сломать можно кого угодно. А еще лучше выкидывайте эти дурацкие пароли и подключайте OpenID и OAuth (Google, FaceBook, Twitter)
OCTAGRAM, 02.04.2011, 22:16
Как вариант, хранить в базе [ salt, crypt(salt + password, public) ], где public — односторонний ключ шифрования, обратный к которому хранится отдельно от базы данных в надёжном месте, так, на всякий случай

Оставить комментарий