2

我正在使用 Python 和 Flask 创建一个网站,并且想知道一些对我来说相当重要的事情。

过去,作为未受过教育的程序员,我总是在会话中保存未加密的用户密码,以便可以根据要求重新验证用户名和密码。目前我正在制作我的第一个严肃的网站,所以我也想做得更好。

我知道有一些方法可以嗅探会话变量,例如通过一种或另一种方式获取另一个人的会话 ID。我想知道最好以什么形式存储密码,以便对有权访问会话数据的人隐藏它。

到目前为止我想到的选项:

  • 未加密:逻辑上最糟糕的选择。
  • Hashed:例如,保存sha256(password)到会话。这也不是一个好的选择,因为破解者可以使用字典表来检索未加密的密码。
  • Salted & Hashed:例如,保存sha256(password+hash)到会话。这是三个选项中最安全的一个,但它将是数据库条目的副本,这对我来说似乎不是一个好主意。破解者可以将自己的密码与自己的哈希值进行比较,并可能找出如何为整个数据库创建盐和哈希值。我不确定这是否是一个有效的问题,但我想 Stackoverflow 上知识渊博的用户能够告诉我。;)
  • Salted & Hashed,数据库保存递归散列字符串:本质上,这似乎是一个不错的选择,但我读过递归散列密码总是一个坏主意。

那么,推荐哪一个呢?也许是我没想到的第五个?请注意,需要使用此变量来验证用户的凭据,因此我们不能只使用不同的盐对其进行哈希处理。

4

1 回答 1

3

为什么您需要将用户的密码存储在会话?我看不出对它有什么特别的需求,而且它只是无缘无故地造成了潜在的安全风险。

相反,只需存储用户名,并且可能还存储一个表明用户已通过身份验证的标志。当然,您应该在用户注销时清除该标志(和/或只是擦除整个会话数据),以便以某种方式访问​​旧会话 cookie 的攻击者无法在注销后恢复会话。

您可能还想在会话中存储“上次访问”时间戳,以便您可以让旧的过时会话超时。或者您可以依赖会话框架的内置会话过期行为,但拥有完全由您的应用程序直接控制的备份机制可能仍然是一个好主意。

附言。显然,无论您做什么,请确保您的会话标识符是使用加密安全的随机数生成器(例如Crypto.Random.random)生成的,并且它们足够长以至于无法猜测(至少 64 位 = 16 个十六进制数字,尽管128 位更好)。如果由于某种原因不能这样做,另一种方法是自己生成这样一个随机令牌,将其存储会话和 cookie 中,并在使用任何实际会话数据之前验证会话和 cookie 令牌是否匹配.

于 2013-08-14T12:39:58.023 回答