הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post - מאמר חדש

**IgalSt** · 10-05-11, 12:22

מאמר מעולה.
חבל רק שחברות גדולות רבות לא מיישמות את השיטות המוצגות במאמר שלך שנחשביות כיום ל-best practice.
לדוגמה סוני שרשת הפלייסטיישן שלה נפרצה לאחרונה והכילה סיסמאות לא מוצפנות.
מנגד, ניתן לציין לחיוב את LastPass שייתכן ואחד מה-DB שלהם נפרצו אך לא נשקפת סכנה למשתמשים שכן לפורצים אין מה לעשות עם המידע שגנבו, אם גנבו.

בכל אופן, אני נוהג ליישם משהו נוסף בקידוד הסיסמאות שלי:
בנוסף ל-salt הייחודי לכל משתמש, אני נוהג להוסיף אחד נוסף שהוא ייחודי לכל אתר hard coded.
זה נוח במצבים בהם יש צורך להכריח את כלל המשתמשים להחליף סיסמה. אם משנים אותו אז אוטומטית כלל הסיסמאות של המשתמשים לא נכונות והם נאלצים להחליף אותן. זה משהו שלצערי נאלצתי להשתמש בו לפני כשנתיים באתר עם עשרות אלפי יוזרים מחוברים מדי יום.

10-05-11, 12:22	# 2
IgalSt מנהל פורום, עסק רשום מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: המרכז גיל: 38 הודעות: 1,432	מאמר מעולה. חבל רק שחברות גדולות רבות לא מיישמות את השיטות המוצגות במאמר שלך שנחשביות כיום ל-best practice. לדוגמה סוני שרשת הפלייסטיישן שלה נפרצה לאחרונה והכילה סיסמאות לא מוצפנות. מנגד, ניתן לציין לחיוב את LastPass שייתכן ואחד מה-DB שלהם נפרצו אך לא נשקפת סכנה למשתמשים שכן לפורצים אין מה לעשות עם המידע שגנבו, אם גנבו. בכל אופן, אני נוהג ליישם משהו נוסף בקידוד הסיסמאות שלי: בנוסף ל-salt הייחודי לכל משתמש, אני נוהג להוסיף אחד נוסף שהוא ייחודי לכל אתר hard coded. זה נוח במצבים בהם יש צורך להכריח את כלל המשתמשים להחליף סיסמה. אם משנים אותו אז אוטומטית כלל הסיסמאות של המשתמשים לא נכונות והם נאלצים להחליף אותן. זה משהו שלצערי נאלצתי להשתמש בו לפני כשנתיים באתר עם עשרות אלפי יוזרים מחוברים מדי יום. __________________ יגאל סטקלוב Igal Steklov Slides מה השעה? טרקלין דן טרמינל 1