Как хранить пароль AD в корпоративном web-приложении?

Суть в следующем: имеется корпоративный портал (web) с доменной (AD) аутентификацией. В для входа в портал, пользователь вводил доменную учетку и пароль. Чтобы не вводить постоянно логин/пароль они запоминаются в куках браузера. В службе информационной безопасности сказали, что хранить пароль AD в куках не есть гуд, я с ними полностью согласен.
Собственно вопрос, а как тогда безопасно хранить пароль? Или тупо сохранять сессию на, скажем, две недели, а потом опять спрашивать пароль?
P.S. Должно работать во всех браузера.

Спасибо!
  • Вопрос задан
  • 2574 просмотра
Пригласить эксперта
Ответы на вопрос 3
gbg
@gbg
Любые ответы на любые вопросы
Правильное решение - использовать NTLM. Изучайте материал
Ответ написан
@Arik
Самый быстрый и простой вариант - также хранить логин, а вместо пароля хэш пароля из БД, ведь там храните не в открытом виде? Если узнают даже хэш из БД, то узнать пароль сложно будет. Если сеть слушают, то и ключ сессии также можно спереть, надо все под https ставить.
Ответ написан
NetBear
@NetBear
А чем собственно не устраивает хранение того же SHA-хеша пароля в кукис?
Шифрование одностороннее. Взломать его как бы невозможно.
Также установите expiration time на сессию, по истечении времени производите снова запрос в AD и обновляйте куки.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы