Web ユーザーにパスワードを返す

StackOverflow https://stackoverflow.com/questions/713611

  •  23-08-2019
  •  | 
  •  

質問

認証されたユーザーに新しいパスワードを表示するページを構築するという残念な要件を受けました。私は一般的に悪いアイデアとしてこの要件に抗議しましたが、失敗しましたが、陪審はまだ出ていないので、おそらく私がまだ試していない新しいパスワードを表示することに反対する議論があると思います。何か提案はありますか?

次に、パスワードをテキストではなく画像としてユーザーに表示する方がよいでしょうか。テキストが「削られる」のが心配ですが、画像の場合はさらに難しいと思います。画像がユーザーのブラウザによってキャッシュされないようにするにはどうすればよいですか?

前もって感謝します、

役に立ちましたか?

解決

何を構築しているのか、何が要件なのかはわかりませんが、一般的な経験則として、これが重大なセキュリティ上の懸念事項であるとは考えていません。攻撃ベクトルを見てみましょう。

  1. HTTP テキスト トラフィックに対する中間者攻撃 - 画像、特に OCR (CAPTCHA スタイル) に対して難読化された画像はこの攻撃を防ぎますが、porneL が述べたように単純に HTTPS を使用することでも防ぐことができます。
  2. リモート デスクトップ アプリケーションによる画面スクレイピング - HTTPS 保護は役に立ちません。画面上の混乱はいずれにしても人間が読み取る必要があるため、画像も役に立ちません (人間の攻撃者は、「中間者」に対する難読化された画像保護を回避することもできます)画像をアーカイブしてから手動で確認するようにリスナーに指示します)。スクリーンスクレーパーの背後に人間がいる場合、保護することはできません。
  3. 肩越しに盗聴する - 攻撃者が単にユーザーの後ろに立っているだけの場合、やはり、保護はありません。

パスワードが自動生成されている場合は、それをユーザーに表示する必要があり、それを回避する方法はないことに注意してください。サイトが脅威を軽減しようとする 1 つの方法は、パスワードを電子メールで送信することです。これは、ユーザーが誰も見ていないとき、自分の好きな時間に確実に電子メールを読むことができるという前提のもとです。残念ながら、電子メールでは転送を保護するための暗号化の恩恵を受けることもできません。

私の意見では、最善の方法は、ユーザーにパスワードを入力させ (通常のようにパスワード難読化フィールドに)、パスワードのハッシュのみを保存することで、実際のパスワードを保存する必要がなく、表示されないようにすることです。それをユーザーに伝えます。ユーザーにそれを表示する必要がある場合 (おそらく生成しているため)、HTTPS 経由であることを確認して、それを表示するだけです。すべてのファンファーレは実装を複雑にするだけで、セキュリティ上の利点はありません。

他のヒント

画像はあまり安全ではないでしょう。

HTTPSを使用する場合は、

、パスワードはどちらか安全な方法となります。あなたはHTTPを使用する場合は、パスワードは(私はあなたが確認のいくつかの種類のためにそれを表示していると仮定)形式からクリアテキストで送信されます、そしてそれがどのように表示されます秒後に問題はありません。

重要なことは、パスワードが非cache'ableで表示されるページを確認することです。

Cache-control: no-cache, no-store, must-revalidate

次のことを試しましたか?

  • パスワードは保存していないため表示できません。

私はそれが本当に、このような悪い考えであるかどうかわからないです。あなたは、どちらかの方法で、ユーザーに新しいパスワードを送信する必要があります。暗号化されていない電子メールを送信すると、同じ問題を持っている - Webメールを使用するときに撮影しbeeingてか、キャッシュされたbeeingて

私は1つのようないくつかキャプチャすることができ、画像を使用することをお勧めします。しかし、これは自動化された攻撃に対してではなく、人間の攻撃をもう少しだけ保護します。

のものは安全な取得する唯一の方法は、HTTPSを示唆し、enryptionを使用することです。そして、そのような電子メールやソリューションに頼るよりも、より安全になるかもしれ表示するためにあなたのウェブサイトを使用します。

ユーザーが新しいパスワードを入力しLetingは同じ問題を持っている - 今、あなたはそれをサーバーに返送する必要があります。

私は単にトラフィックを暗号化するためにHTTPSを使用して実際のパスワードがデータベース内に格納されないように、一時的なパスワードのハッシュだけを格納示唆しています。もちろん、あなたが、可能ならば、あなたは自分のパスワード、彼らは一時的なパスワードでログイン瞬間を変更するようユーザに要求することができ、一時的なパスワードを盗むから(例えば後ろショルダー探している人のような)物理的な「ハッカー」を防ぐことはできませんが、一時的なパスワードを使用して、リスクが軽減されるようにます。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top