PHP Guru » Autentizace

Solení hesel aneb Sůl nad zlato

Jan Tichý — Tue, 30 Oct 2007 01:35:45 +0000

Pokud máte hesla v aplikaci uložená v hashované podobě, útočník, který se dostane do databáze, nevidí jejich původní plaintextové verze. Může ale použít několik metod, jak toto opatření oslabit. Bezpečnost uložených hesel se pro takové případy dá zvýšit takzvaným solením.

Funkce pro hashování hesel

Jan Tichý — Fri, 26 Oct 2007 19:50:21 +0000

Jednocestných hashovacích funkcí existuje celá řada. Které z nich jsou pro účely ukládání hesel do databáze vhodné? A které jsou naopak nevhodné či dokonce nebezpečné? Jak se vypořádat se změnou použitého algoritmu za běhu aplikace?

Ukládání hesel v databázi

Jan Tichý — Tue, 23 Oct 2007 00:42:56 +0000

Přihlášení pomocí uživatelského jména a hesla je nejčastějším způsobem ověření identity uživatele. Hesla jsou kritickým prvkem aplikace a je nutné jim proto věnovat zvláštní péči. Základním pravidlem je ukládat hesla do databáze v hashované podobě.

Co všechno souvisí s autentizací

Jan Tichý — Wed, 19 Sep 2007 13:20:30 +0000

Co vlastně očekáváme od knihoven týkajících se jak autentizace, tak i dalších úzce souvisejících věcí? Nadále budeme nejčastěji předpokládat klasický případ přihlášení pomocí uživatelského jména a hesla, uchovávání uživatelských dat v databázi, využití formulářové autentizace a vázání přihlášení na session. K jiným variantám se dostaneme později.

Autentizace

Jan Tichý — Sun, 16 Sep 2007 15:00:42 +0000

Autentizace je klíčovou součástí každé pokročilejší aplikace. Špatně realizovaná autentizace může v lepším případě odradit mnohé návštěvníky, v horším představovat vážnou bezpečnostní díru do systému. Základním principům a pravidlům by proto měl rozumět každý vývojář, i kdyby nakonec třeba jen využíval některou z mnoha existujících hotových knihoven.