存储自动登录密码的正确方法

Posted 2023-02-27

【中文标题】存储自动登录密码的正确方法

【英文标题】：Correct way to store passwords for autologin

【发布时间】：2014-02-06 01:30:57

【问题描述】：

我知道了如何在服务器上存储密码，但是自动登录到服务器的客户端呢？这里最好的方法是什么？我应该存储一个散列密码，并让服务器双散列吗？我应该加密它吗？有哪些可用选项？

该软件将是开源的，因此使用的任何密钥都是公开的。

编辑：

这实际上是一个计算机程序。我可以毫无问题地发送 MAC 地址之类的东西。

【问题讨论】：

大多数客户端，无论是台式电脑还是移动设备，都已经能够安全地存储凭据...您是否有理由需要自己构建此功能？

不，我正在使用 Qt。我会调查的。

是的，Qt 也提供了类似的功能。祝你好运

【参考方案1】：

这完全取决于您想要达到的安全级别 :-) 还可以在这里查看详细讨论此主题的位置：Designing a secure auto login cookie system in php

编辑：更详细的http://jaspan.com/improved_persistent_login_cookie_best_practice 还有一篇关于整个主题的非常好的帖子：The definitive guide to form-based website authentication看看第二部分

【参考方案2】：

就我而言，cookie 足够安全，可以以明文形式保存密码。仅当您有 XSS 泄漏或有人将其保存在公共计算机上时才会出现问题，以便其他人可以查找。

在这种情况下，我会采用您建议的解决方案，在客户端使用哈希，在服务器端使用双哈希。

编辑：我刚刚意识到，在使用（不安全的）WLAN 时也可以（轻松地）读出它们，所以现在以明文形式保存它们似乎是个坏主意。

【讨论】：

您永远不应该在 cookie 中以明文形式存储密码。这只是疯狂的谈话。