Пользователи магазина хешировали PW в localstorage?

Question

Я пишу веб-приложение для 100 пользователей, где я работаю.Он доступен в Интернете, а не только в нашей внутренней сети.Многие пользователи являются неквалифицированными пользователями, хотя большинство используют Chrome, поскольку это браузер, используемый по умолчанию на их ноутбуках.

Для авторизации в веб-приложении это потенциальный план:

1. Пользователь вводит пароль
2. Пароль отправляется на сервер
3. Пароль хэшируется и сравнивается с сохраненным хешем
4. Если пароль верный, браузер сохраняет пароль в локальном хранилище
5. Если срок действия файла cookie сеанса пользователя истек, javascript публикует сохраненный пароль при первом просмотре, чтобы пользователю не приходилось повторно аутентифицировать

Это хорошая идея?

Answer 1

В этой теме много неверной информации о хранении паролей и локального хранилища против файлов cookie.

Во-первых, локальное хранилище не менее надежно, чем сохранение пароля пользователя в файле cookie.На самом деле, это на самом деле более безопасно, потому что данные в локальном хранилище никогда не отправляются на сервер, если явно не просят об их отправке (куки-файлы, поэтому хранение в них пароля небезопасно).

Это означает, что вы, по крайней мере, можете быть уверены, что пароль будет отправлен ТОЛЬКО через HTTPS.

При этом для некоторых пользователей удобство отсутствия входа в систему может быть очень хорошим.Лучше всего использовать некоторый тип шифрования на стороне клиента для хранения пароля, если вы хотите быть более безопасным.

В противном случае подумайте больше о типе информации, с которой вы работаете.Что важнее?Удобство использования или безопасность?Это банковская информация?Какой тип повреждения может сделать хакер с помощью пароля пользователя?

Также не существует безопасного способа «запомнить меня», поэтому вышеприведенный пост совершенно неверен.Помните, что я использую cookie, который в лучшем случае так же безопасен, как и локальное хранилище.

Это зависит от предпочтений и потребностей.Возможно, предоставить пользователям выбор?

Следующий тип запоминания может быть реализован с использованием локального хранилища или файла cookie. Каков наилучший способ реализации «запомнить меня» для веб-сайта?

Answer 2

Я не думаю, что вы должны хранить пароль пользователя на стороне клиента для того, чего вы пытаетесь достичь.Это можно сделать через куки.
Итак, предположим, что пользователь прошел аутентификацию, тогда, возможно, вы могли бы создать cookie-файл, который находился бы на его машине в течение пары недель и который служил бы для него проходом.
Хранение паролей (которые тоже не зашифрованы) не рекомендуется.

Answer 3

Это не совсем имеет смысла.Похоже, сервер не поддерживает «Запомнить меня», и вы пытаетесь добавить его с помощью клиента.Почему бы просто не поддержать его на сервере?Существует множество существующих учебных пособий и вопросов по настройке (попробуйте этот поиск ), но в основном это означает наличие специального файла cookie для входа в систему со случайно сгенерированным значением (отслеживается сервером) и long (возможно пару недель, не навсегда) истечение срока.Хранение пароля, даже хэшированного, открывает пользователю возможность неопределенного (до смены пароля) повторного воспроизведения, если кто-то получает доступ к базе данных.

Answer 4

Зачем вообще заниматься аутентификацией, если вы собираетесь хранить пароли для пользователей?

Как вы собираетесь гарантировать, что другой человек, использующий свой компьютер, не сможет получить доступ к вашему сайту?

Пароли - это то, что кто-то делится с вами секретом, с помощью которого они говорят вам, что являются тем, кем, по их утверждению, они являются (аутентификацией) - избавляясь от необходимости повторной аутентификации каждый момент, а затем делает схему аутентификации совершенно бесполезной.