/ / Czy zaszyfrowanie nazwy użytkownika w pliku cookie jest wystarczająco bezpieczne dla trwałego mechanizmu logowania? - php, hash, nazwa użytkownika

Czy mieszanie nazwy użytkownika w pliku cookie jest wystarczająco bezpieczne dla trwałego mechanizmu logowania? - php, hash, nazwa użytkownika

Chcę zaszyfrować nazwę użytkownika, aby użyć jej w funkcji setcookie (do ustawienia trwałego mechanizmu logowania).

Czy wystarczy zaszyfrować nazwę użytkownika za pomocą sha1, czy myślisz, że powinienem skorzystać z bardziej zaawansowanych rozwiązań?

Słyszałem o PHPpass, ale myślę, że jest to zalecane tylko dla haseł, ponieważ jest to coś bardziej zaawansowanego.

Co myślisz?

Odpowiedzi:

1 dla odpowiedzi № 1

Myślę, że sha1 powinno wystarczyć. Po prostu dodaj lub dołącz jakiś ciąg do nazwy użytkownika i wykonaj haszowanie sha1. To zadziała.

1 dla odpowiedzi nr 2

Stałe logowanie nigdy nie powinno opierać się na informacjach, które osoba atakująca może znać.

Jeśli musisz używać stałego logowania, musisz to zrobićutwórz unikalną, kryptograficznie losową wartość do przypisania do tego pliku cookie i utwórz pasujący rekord w bazie danych do sprawdzenia. Jeśli pracujesz w systemie operacyjnym opartym na Uniksie, / dev / urandom powinno świetnie działać jako źródło. Jeśli absolutnie nie możesz znaleźć dobrego źródła prawdziwie losowych danych, wystarczy użyć unikalnej funkcji PHP.

Prawdopodobnie dobrym pomysłem byłoby wygenerowanie nowego trwałego tokena przy każdej pierwszej wizycie, aby zapobiec półtrwałej fiksacji ze strony atakującego.

Powiązane pytania

VB.Net Cookie Login - vb.net, winforms
W jaki sposób dodanie identyfikatora serii pomaga w tej trwałej implementacji logowania? - bezpieczeństwo, uwierzytelnianie, pliki cookie, logowanie, trwałe
Powiązanie haseł z hashiem po stronie klienta - bezpieczeństwo, hash, hasła, strona klienta, sól
utwórz bezpieczne hasło za pomocą butelki - python, sql, hash, hasła, salt
password_verify () nie weryfikuje hashowanego hasła - php, hash
Użyj cookie na stronie logowania PHP - php, session, cookies, login
Hashing & Salting - Sprawdzanie poprawności logowania w / cookies - php, uwierzytelnianie, ciasteczka, hash, sól
Czy hashowanie zwiększa bezpieczeństwo? [duplicate] - php, szyfrowanie, hasła, kryptografia, sha1
Sprawdzanie informacji o sesji przed ciasteczkami isset confusion - php, session, cookies, login
nazwa użytkownika w ciasteczku - php, bezpieczeństwo, pliki cookie
Jak wyświetlić hasło w polu tekstowym w odszyfrowanym formacie? - php, ciasteczka, szyfrowanie
Licznik sesji PHP jest ignorowany - php, uwierzytelnianie, logowanie
Zaloguj się przy użyciu nazwy użytkownika, ale zaloguj się przy użyciu małej nazwy użytkownika - php, sql, login, nazwa użytkownika, małe litery
Skrypt logowania: dwie instrukcje if - php, database, hash, mysqli, password-hash
Problem z logowaniem do sesji php - php, html, sql
Nieprzestrzeganie parametrów funkcji analizowanych z argumentów wiersza poleceń - parametry, common-sepl
Node.js, socket.io i mongojs - Formularz logowania z socket.io - javascript, node.js, mongodb, socket.io
Jak napisać plik cookie, aby zapamiętać nazwę użytkownika w JavaScript - javascript, html, pliki cookie, login, nazwa użytkownika
Uwierzytelnianie Windows - c #, sesja, uwierzytelnianie, uwierzytelnianie formularzy
jak wyodrębnić określone informacje w pliku cookie w asp.net - asp.net, sql, wiązanie danych, pliki cookie, logowanie