サイトのログインプロセスの更新作業中です。パスワードを盗む間の詐欺の特定
現在、パスワードはMD5(パスワード)として保存されている、と私は、塩を追加したい、 しかし、彼らは通常、新しいアカウントに同じパスワードを使用しています ので、無塩パスワードは、可能な詐欺を識別するために使用されています。
トラフィックの20%はモバイルデバイスからのものであり、必ずしも同じIPを持つものではありません。
これらの可能性のある詐欺を特定するにはどうすればよいですか?
まだ塩を追加することはできますが、まだプレーンテキストのパスワードを持っている間は既存のパスワードと比較する必要があります。つまり、パスワードテーブルをループして、重複を探していなければなりません新しいパスワードとの塩)を作成する必要があります。
偽のパスワードは、詐欺防止の目的で無防備にするよりも大きな利点です。しかし、a cryptographically secure slow hashing algorithm, such as bcrypt, scrypt or pbkdf2を使用してください - 塩味のないMD5。
しかし、ケーキを食べて食べることができます。詐欺行為に使用されていた以前のパスワードを含む別のテーブルを持っていないのはなぜですか?これらはハッシュされますが、ソルトされず、アカウント関連付けが保存されません。
これらのパスワードのいずれかを使用するユーザーが不正ではないと判明した場合は、調査した後にパスワードを変更するよう通知することができます。
詐欺のためにアカウントが使用されたと判断された後に、不正なパスワードリストに新しいパスワードを追加することができたらどうなりますか?
が直立ユーザーのアカウントのセキュリティを減らすことができ、あなたはそれが不正にいずれかに一致する場合は、「良い」、ユーザーがログイン時にパスワードを変更すべきですパスワードリスト。
データベースが公開されている場合、これは使用されたパスワードの完全なリストを提供するだけではなく、ユーザーテーブルのsalt化の目的を損なうでしょうか? – MLarsen
以前に詐欺に使用されていたアカウントのパスワードは保存されていましたが、これはおそらく無効化されていると思われますか?詐欺のないユーザーがこれらのパスワードのいずれかを使用した場合は、調査した後にパスワードを変更するよう通知することができます。 – SilverlightFox
禁止された塩漬けパスワードを持つアカウントがある場合、元のパスワード(悪い)を保存しないで無制限の "不正"パスワードのリストを入力するにはどうすればよいでしょうか? – SecurityMatt
「パスワード」をパスワードとして使用しているすべての人々と詐欺を区別する方法は? – TrueWill
ユーザーが不正行為を禁止され、新しいアカウントを作成すると、新しいアカウントのパスワードは他のユーザーと比較され、不審なアカウントと一致する場合はさらに調査されます。 – MLarsen
これらの詐欺はそれほどスマートではありませんか? –