フィードバックをお寄せください。私はユーザーにランダムに生成されたパスワードが与えられるdjangoアプリケーションを構築しています。これはどの程度安全ですか?
現在、パスワードはdjango authのmake_random_password()関数を使用して生成されています。
しかし、早期のフィードバックは、電子メールが覚えがたすぎることです(ユーザーが変更することはできますが)。
これは閉鎖された(招待された)アプリですが、インターネット上に存在します。合計約600人のユーザーがいます。私は解決策を持っていたと思っていますが、私はSOユーザーが実行したかったのですが、フィードバックの問題を解決しました。
私のsettings.pyファイルには、他の約40の動詞(これは大文字である)。
私は各リストから1つをランダムに選択して一緒に結合し、最後にいくつかのランダムな文字を追加しました。
すべてのパスワードは、少なくとも9文字の長となり、保存されたとき、Djangoのset_password()関数を使用してハッシュされ
私が見る一番の問題は、誰かが、彼らはその後、アクセス権を持っているでしょうSFTPサーバーへのアクセスを獲得した場合私のコードには、したがって、pwordをクラックするためのテンプレートに。
でも、dbアクセスなどもあるので、本当に心配ですか?
私は、ランダムに生成されたpwordが行く方法であると言う権利を予約しています - 常に "セキュリティ"トランプカードを持っています。 – picus
電子メールの "パスワードを変更するにはここをクリック"リンクを作成してください。 – Lacrymology
それは本当ですが、これは「健康と安全」の問題が修正されたと言われるなら何でもできるという古い言葉のようです。閉じたアプリの場合、そのようなパスワードシステムは大丈夫だと言いたい。誰かがFTPサーバーにアクセスするのを心配することはありません - それはかなりのWebアプリケーションの場合です。もし誰かがそれをしたら、彼らはDBパスワードを持っていて何かをすることができます! – Matt