Насколько безопасны пароли Authlogic?

Question

Я планирую сделать базу данных проекта Rails доступной для публичного скачивания. Эта база данных содержит таблицу пользователей Authlogic с полями crypted_password и password_salt. Насколько надежно хранятся эти пароли ... безопасно ли делать их общедоступными таким образом? Или мне стоит взглянуть на реализацию другой системы аутентификации, такой как OpenID, которая не хранит пароли в базе данных?

Answer 1

Я бы посоветовал вам удалить любые поля, связанные с аутентификацией пользователя (электронные письма, пароли, соли и ключи, открытые идентификаторы URL) из любых баз данных, которыми вы планируете поделиться, в противном случае вы можете оказаться в мире боли, когда кто-то захватывает злоумышленника этого.

Answer 2

Это определенно не очень хорошая идея, независимо от уровня безопасности и шифрования. Даже если бы он был совершенно безопасным, вы как минимум откроете пользовательские данные, что не похоже на то, что ваши пользователи, вероятно, будут рады. А что если это не совсем безопасно (гораздо более вероятно) - предположим, скажем, есть критическая слабость в authlogic, которая еще не обнаружена?

Лучше, чем потом сожалеть. Поделитесь остальными, если хотите, но держите таблицу пользователей и связанные данные в секрете!

Answer 3

Определенно небезопасно делиться хешированными паролями, возможно, вам следует попробовать разделить вашу модель User на что-то вроде UserProfile (общедоступная информация пользователя - ник, местоположение и т. Д.) И UserAccount, которые вы можете использовать для аутентификации. Тогда вы могли бы поделиться всем, кроме учетных записей. Или, возможно, рассмотрите возможность реализации какого-либо API, который другие могли бы использовать для извлечения данных с вашего сайта вместо публикации всей базы данных.

Answer 4

Я думаю, было бы разумно не включать таблицу пользователей в базу данных, которую вы публикуете, независимо от используемой вами системы аутентификации. Одним из преимуществ использования authlogic является то, что вы можете реализовать несколько способов аутентификации безболезненно. Неважно, используете ли вы традиционную регистрацию, OAuth, OpenID или RPX, все эти методы способны вводить личную информацию вне пароля в вашу модель пользователя. Пользователи, вероятно, не будут довольны опубликованной информацией о DOB / имени и фамилии / местоположении.