Как хранить в базе логины и пароли пользователей от других сервисов?

Question

[Максим Гречушников]

Допустип нужна возмоность пользователям хранить в системе логины и пароли к почтовому ящику, чтобы приложение могло время от времени стучаться по реквизитам ящика и проверять наличие новых писем?

UPD: Почта как пример. Это не почта будет.

Comments

[Сергей]

была почта. теперь не почта. а "непочта" с почты что должна собирать?

[Максим Гречушников]

Почта лишь пример была. Ну давай, если уж к словам придрались, пусть будет, эм. Доступ к гармин коннект. Он не предоставляет OAuth авторизацию.

[Сергей]

блин вы уже определитесь. вам что нужно? чтоб какая-то хрень хранила пароли и логины от вебмани и регулярно проверяла на предмет наличия денег и списывала? ну так это просто! но за деньги! и не ко мне! ;)

[Максим Гречушников]

Сергей: вот те крест ничего плохого не будет совершаться. допустим делается вот такое приложение https://tapiriik.com/#
еще раз повторю. гармин не имеет OAuth авторизации, только через логин и пароль. Вот их и надо хранить в базе

Answer 1

[АртемЪ]

Если на безопасность пофиг храните как угодно.
Если на безопасность не пофиг - не храните вообще, ибо пароль не должен нигде хранится кроме как у пользователя.

Comments

[Максим Гречушников]

на безопасность не пофиг, но формат сервиса обязывает хранить

[АртемЪ]

Максим Гречушников: Пароль это такая штука которую знает только пользователь. И которая нигде не хранится больше.
Т.е если пытаетесь хранить пароль - значит никаких мыслей про безопасность.

[Максим Гречушников]

АртемЪ: я это понимаю, потому и говорю, что максимально обезопасить.

[АртемЪ]

Если вы храните пароль, то это уже не пароль а обычные данные.
Поэтому защищать надо как обычные данные в базе.

[Archakov Dennis]

АртемЪ: глупое решение, не хранить пароль в бд. А как идентифицировать пользователя собираетесь? Логины в бд есть, а паролей нет. В итоге никак не войти в свой аккаунт.

А автору советую делать следующее:
1. Если ты решил без пароля делать аккаунты. То делай авторизацию по почте. То есть, я ввожу почту и мне каждый раз приходит временный пароль на 1 час, день месяц. Который будет по истечению этого времени очищаться.
2. Делай отправку на почту так же, но храни пароль в сессии или в куках на какое-то время. А проверяй по хэшу пользователя, совпадает ли хэш из бд с тем же, что в куках или сессии.
3. Делай авторизацию по номеру телефона. Отправляй смс сообщения и присланный код юзай как пароль.
4. Делай 2 пароля. Эту мысль я придумал для своего проекта недавно. В базе данных храни пароль в зашифрованном виде с криптовкой AES-256 + ключ. Этот пароль сохранится в бд и его никто не расшифрует если не узнает сам ключ. А ключ уже пользователь будет хранить в голове, далее он вбивает ключ как обычный пароль и входит в аккаунт. А сам пароль в бд храни примерно так: aes256($pwd,$key)

[АртемЪ]

Ingush Archakov: Пароль это такая вещь которую не хранят посторонние лица.
Кроме самого пользователя никто не может знать пароль.

[Archakov Dennis]

АртемЪ: мистер очевидность, спасибо за разъяснение

[АртемЪ]

Ingush Archakov: Пожалуйста.
Рад что вы это понимаете.
Но тогда возникает вопрос - а почему тогда вы все-таки советуете их хранить?

[Archakov Dennis]

АртемЪ: прост

[Максим Гречушников]

Еще раз повторю задачу, у меня есть сервис, по типу tapiriik.com и МНЕ НАДО ХРАНИТЬ ПАРОЛЬ для работы автозагрузки КРОНОМ. мне не нужны двойные пароли.