Нужно ли хранить пароли самостоятельно?
При разработке приложений, требующих аутентификации пользователей, мы должны задаться вопросом: стоит ли хранить пароли пользователей в наших системах? Несмотря на удобство, самостоятельное хранение паролей создает значительные риски для безопасности.
В идеале мы должны стремиться к тому, чтобы по возможности не заниматься хранением паролей самостоятельно. Некоторые альтернативные подходы включают в себя:
- использование сторонних служб аутентификации (например, OAuth) для обработки входа в систему.
- Использование федеративного управления идентификацией и единого входа (SSO) для минимизации использования паролей.
Если самостоятельное хранение паролей неизбежно, примите дополнительные меры предосторожности.
Не делайте этого:
- Хранить пароли в формате обычного текста
- Хешировать пароли без соли
ДЕЛАЙТЕ:
- Солить + хэшировать пароли перед хранением с помощью криптографических функций
- Следуйте отраслевым стандартам, таким как OWASP, для реализации соления и хэширования.
- Правильно проверяйте попытки входа в систему, сравнивая хэши вводимых паролей с хранимыми хэшами по времени.
Предпочтительнее отказаться от хранения самоизменяющихся паролей. Но при необходимости соление и хеширование паролей может помочь снизить риски.
При разработке приложений, требующих аутентификации пользователей, мы должны задаться вопросом: стоит ли хранить пароли пользователей в наших системах? Несмотря на удобство, самостоятельное хранение паролей создает значительные риски для безопасности.
В идеале мы должны стремиться к тому, чтобы по возможности не заниматься хранением паролей самостоятельно. Некоторые альтернативные подходы включают в себя:
- использование сторонних служб аутентификации (например, OAuth) для обработки входа в систему.
- Использование федеративного управления идентификацией и единого входа (SSO) для минимизации использования паролей.
Если самостоятельное хранение паролей неизбежно, примите дополнительные меры предосторожности.
Не делайте этого:
- Хранить пароли в формате обычного текста
- Хешировать пароли без соли
ДЕЛАЙТЕ:
- Солить + хэшировать пароли перед хранением с помощью криптографических функций
- Следуйте отраслевым стандартам, таким как OWASP, для реализации соления и хэширования.
- Правильно проверяйте попытки входа в систему, сравнивая хэши вводимых паролей с хранимыми хэшами по времени.
Предпочтительнее отказаться от хранения самоизменяющихся паролей. Но при необходимости соление и хеширование паролей может помочь снизить риски.
