Где лучше хранить Логин и Пароль в web приложении?

Question

[nikita_chiru]

Есть приложение на Ionic (Html + JavaScript ) , на этапе разработке пароли хранятся в Localstorage, есть ли лучший вариант в плане безопасности ?

Answer 1

[Павел Корнилов]

Хранить нужно необратимые хеши паролей. Как вариант, чтобы не морочиться с БД - в файле JSON.

Comments

[nikita_chiru]

Если не затруднит , можешь прислать ссылку на статью или пример. Спасибо ))

[Павел Корнилов]

Примерно так:
1. При регистрации пишете в файл пару логин - хеш пароля (например, md5)
2. При авторизации - читаете из файла и сравниваете с отправленными $_POST данными, не забывая при сравнении захешировать отправленный пароль. Т.е. сравниваете хеши.
3. Желательно использовать сессии.

Примера под рукой нет.

[nikita_chiru]

KorniloFF, Спасибо , про MD5 то я и забыл XD

[Павел Корнилов]

nikita_chiru, md5 - для примера, он не самый надёжный. Лучше использовать hash() - тогда враги не узнают алгоритм хеширования, указанный серверу в ней.

[nikita_chiru]

KorniloFF, ты меня сейчас в осадок выкинул ... MD5 уже ломанули что ли ?

[Павел Корнилов]

nikita_chiru, не слышал, чтобы ломанули, но потенциально это возможно, где-то читал. Поскольку алгоритм заранее известен. Поэтому и посоветовал как лучше сделать.

[Stanislav Pugachev]

nikita_chiru
его просто перебрали и создали базу хешей
тогда по хешу очень легко найти оригинальное значение

[vaut]

nikita_chiru, он и очень быстрый что позволяет эффективно эффективно перебирать и радужные таблицы уже есть.
И вне рамках этой задачи его ломанули:
Т.е умеют создать файл с той же md5 суммой, но другим содержанием.

[Alams Stoyne]

Это решается добавлением ключа/воды не одна база не поможет