0
我打算在会话期间在内存中存储明文密码,并且希望得到一些关于这种情况会不安全的反馈。存储密码的原因是,在应用程序的用户执行某些操作时,会话期间将多次使用该密码来加密和解密后台数据。我认为每次让用户输入密码会更安全,但这会导致非常差的用户体验,因此我试图提出尽可能安全的解决方案,而不会刺激用户。将会话密码存储在会话持续时间的变量中
A
回答
0
不要直接使用密码来加密/解密数据,您应该从密码中派生一个密钥(请参阅PBKDF2)。用于加密/解密的派生密钥对于长时间存储在内存中更安全。
相关问题
- 1. Laravel会话持续时间
- 2. 会话变量不会持续
- 3. Rails - 会话变量不会持续
- 4. 在会话中存储对象时会话变量问题
- 5. 在会话中存储密码的JSP
- 6. 在django会话中存储LDAP密码
- 7. rails在会话中存储密码
- 8. 在joomla会话中存储mod_login密码
- 9. 在会话中存储密码
- 10. 在会话变量中存储密码安全吗?
- 11. 如何使CodeIgniter中的会话变量持续更长时间
- 12. 存储会话变量
- 13. 将会话密钥存储在localstorage中
- 14. 计算会话持续时间在Kibana
- 15. 持续会话?
- 16. 会话不在PHP中存储变量?
- 17. 在新变量中存储会话
- 18. 在会话变量中存储函数
- 19. 在html/javascript中存储会话变量
- 20. 在会话变量中存储文件?
- 21. 将XML值存储到会话变量
- 22. 会话的控制持续时间PHP
- 23. 会话变量持续通过POST
- 24. 在会话中存储时间
- 25. 在会话中存储日期时间
- 26. 粘滞会话持续时间
- 27. 延长CruiseControl.NET会话持续时间
- 28. AVG会话持续时间不正确?
- 29. 查明会话持续时间
- 30. 创建会话持续时间更长
感谢您的评论。纠正我,如果我错了,但我假设你的建议是这样的:用户提供他们的密码,然后从这个密码派生一个密钥,这个密钥存储在内存中的会话持续时间,并习惯于加密和解密任何数据。我只有一个关于这个问题 - 如果攻击者获得了派生密钥,攻击者是否能够解密任何加密数据?谢谢你的帮助! – user3607758
*“用于加密/解密的派生密钥对于长时间存储在内存中更安全。”* - 您能否解释为什么这会更安全?我不认为这是。 –
是的,他们能够解密/加密数据,如果他们获得派生密钥,但您的用户会感激他们的实际密码没有暴露。将解密密钥存储在内存中通常是不可避免的,但存储密码是另一回事。 – zeroimpl