Как записать пароль в файл журнала?

Question

Есть два способа войти в любой пароль - я не вижу проблем ни с одним из них.

1. Not log any password, just log the user.
2. Log '******' against the password. logger.info("User=" + user + "logged with Password=******");

Есть ли у нас лучшие практики для таких ситуаций?

Answer 1

Какой смысл регистрировать «******» в журнале? Это просто дополнительный текст, который занимает место и не предоставляет никакой информации. Просто оставь это.

Answer 2

Пока информация о пароле не сохранена, все в порядке.

Answer 3

У меня никогда не будет пароля ни в одном файле журнала.

Answer 4

Во-первых, зачем вам такая вещь?

Я думаю, что есть еще несколько вариантов (от более менее безопасных)

• не регистрировать пароль

• с целью идентификации среди некоторых известных паролей сделать запись криптографически надежного хэша пароля, например, используя MD5 / SHA1. Хранение числа звездочек является формой, если это, но менее безопасно.

• для восстановления пароля ведите журнал в зашифрованном виде, например, используя. AES.

• пароль в виде простого текста.

Answer 5

Не регистрировать пароли или ***. Если вы хотите знать разные методы аутентификации, классифицируйте их и внесите в журнал соответственно.

Я не понимаю, почему регистрация пароля или *** принесет какую-либо выгоду: на самом деле регистрация пароля - это полная нет-нет и угроза безопасности.

Answer 6

Не беспокойся. Регистрация звездочек опасна, если ваш замаскированный пароль содержит то же количество звездочек, что и длина пароля. Таким образом вы отдаете информацию о пароле. Альтернатива состоит в том, чтобы всегда регистрировать различное количество звездочек, но когда вы прибегаете к этому, есть ли смысл?

Answer 7

В зависимости от структуры вашей БД, нет реальной цели регистрации пароля, с которым они вошли в систему, потому что можно сделать вывод, что если вошел в систему, то использовал текущий пароль:)

Если у вас есть история смены пароля (и, очевидно, что вы храните пароль в хешированном формате, чтобы его нельзя было полностью перевернуть), вы можете полностью положиться на эту систему, чтобы определить, требуется ли она по какой-либо причине, что они действительно использовали пароль X, который они имели между датой FOO и датой BAR.

В любом случае, смысл в том, что user X logged in. - это все, что действительно нужно зарегистрировать.

Answer 8

Я думаю, что наличие пароля должно быть зарегистрировано, чтобы в будущем кто-то мог прочитать журналы и выяснить, как пользователь вошел в систему. (Пароль, OID e.t.c.)