О защите паролей от кейлоггеров — более гуманная идея

    Идея навеяна этим топиком. Мучить пользователя растановкой пароля в произвольном порядке по-м не слишком гуманно. Взамен этого можно использовать что-то типа каптчи но вставлять ее не в отдельное поле а в поле пароля. Например:

    «Введите символы которые вы видите на картинке после 3-го символа вашего пароля.»

    Ну а для совсем параноиков можно не в самом начале писать текст о необходимой вставке пароля а после n-го символа появлялся div с необходимостью теперь вбить значение из всплывшего окна.

    upd
    ну вот… могу только в личный блог писать, если интересная идея перекиньте плз в инф. безопасность
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 5

      +2
      Проблема начинается тогда, когда передается не сам пароль (что можно делать только по SSL), а его хеш.

      Обычным сценарием является следующий:
      1. Получить от пользователя пароль при регистрации.
      2. Посолить (Add salt), взять хеш и положить хеш вместе с солью в базу.
      3. Получить от пользователя пароль при аутентификации.
      4. Посолить, взять хеш, отправить на сервер и сравнить полученные значения.

      Сценарий зарекомендовал себя вполне и вполне.
      С вашей идеей он не сочетается вообще.
        0
        Короче, виртуальная клавиатура все равно забарывает.
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            Можно и там и там, смотря где удобнее
            Salt нужен для того, чтобы избежать возможности подобрать пароль по хешу через методом прямого сравнения. Ведь если у двух юзеров одинаковые пароли — то их хеши тоже будут одинаковые.

            Можно делать хеш на клиенте, затем на сервере солить и снова делать хеш — полученную конструкцию уже проверять на предмет совпадений. Мне этот подход больше всего нравится.
          0
          Теперь можете перенести сами в тематический блог.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое