Qual è il modo migliore per gestire la gestione degli account utente in un sistema, senza avere i dipendenti che hanno accesso a un database, per avere accesso agli account.Il modo migliore per gestire l'autenticazione e le password dell'account utente
Esempi:
Memorizzazione username/password nel database. Questa è una cattiva idea perché chiunque abbia accesso a un database può vedere il nome utente e la password. E quindi usarlo.
Memorizzazione nome utente/password hash. Questo è un metodo migliore, ma è possibile accedere all'account sostituendo l'hash della password nel database con l'hash di un altro account di cui si conoscono le informazioni di autorizzazione. Quindi, dopo l'accesso è concesso ripristinarlo nel database.
Come gestisce Windows/* nix?
Qualcuno con accesso al DB potrebbe comunque avere accesso all'account. Avrebbero solo bisogno di rinominare temporaneamente il nome utente. –
Quindi potresti scambiare le password di 2 utenti spostando gli hash delle password in quel file? –
Brian, non se l'algoritmo hash include il nome utente. –