Citat:
Originalno napisao ivanhoe
Velika mana cuvanja one-way hashovanih passworda je sto korisnici non-stop zaboravljaju passworde i onda moras stalno da im generises nove, sto ih dodatno zbunjuje, pa onda jos vise zaboravljaju i tako u krug...
|
Onda možda malo da ukomplikuješ Lost password sistem. Kada čovek ode na lost password stranicu ponudiš mu formu gde će da unese novu šifru i objašnjenje da će kod za aktivaciju biti poslat na njegovu email adresu. Zapamtiš privremenu lozinku, pošalješ mail i nakon klika na aktivacioni link pregaziš postojeću.
Što se čuvanja plain šifre u bazi tiče - zavisi šta praviš. Ako je tvoj projekat zanimljiv napadačima (popularni open source prozivodi, sistemi koji barataju sa potencijalno vrednim podacima itd) onda definitivno uloži sve da bi zaštitio šifre svojih korisnika, čak i po cenu cimanja da se resetuje lozinka. U ostalim situacijama može da prođe i plain varijanta, ali je definitivno ne bih preporučio... Radi sve do jednom (to "do jednom" ne mora nikad da se desi, ali je otovrena opcija).