Где и как хранить данные пользователей, пароли, логины?

Question

[Farid]

Доброго дня.

Ребята, подскажите пожалуйста, где лучше хранить данные пользователей - это пароли, логины
Я как понимаю, они должны быть собраны в баз данных с мд5 к примеру, но где лучше хранить эти данные чтобы не могли получить к ним доступ?

upd: Задал вопрос некорректно. Данные находятся в БД, как этот самый БД защитить и где хранить следуя закону 152-ФЗ о перс. данных?
Заранее благодарен!

Comments

[Adamos]

платежные данные

Вам знакома аббревиатура PCI DSS?

Answer 1

[Andy]

Имя, email, телефон, пароль и другое хранят в базе данных или в крайнем случае в обычном .txt файле.

Обратите внимание! То что вводит пользователь в поле пароль (например 12345) не записывают в базу данных. Создают хэш этого пароля + соль. Почитайте о солении паролей . На выходе в Вашей базе в поле password должен быть хэш (bdadb0330124cda0e8499c9cd118f7bd). Если пользователю нужно войти, то вы сравниваете хэш который получился после ввода пароля с тем который храниться в Вашей базе данных.

Answer 2

[Roman K]

Пароли вообще не хранить. Платёжные данные — только если ты создал фишинговый сайт.

Остаются логины. Можешь хранить их хоть в блокнотике.

Comments

[Farid]

Задал вопрос некорректно. Данные находятся в БД, как этот самый БД защитить и где хранить следуя закону 152-ФЗ о перс. данных?

[fctoha]

Как тогда аутентифицировать пользователей, если у нас не будет логин-парольной проверки?

[Roman K]

fctoha, кто сказал, что не будет?

Answer 3

[Sergey Ryzhkin]

Тоже выскажу свое мнение, если ты прочитал, но не понял предыдущие 4-ре разных ответа.
Логины - в БД
Пароли - нигде

Answer 4

[АртемЪ]

Логины и прочие данные, как правило хранят в базе данных.
Пароли не хранят вообще.

Comments

[Farid]

Задал вопрос некорректно. Данные находятся в БД, как этот самый БД защитить и где хранить следуя закону 152-ФЗ о перс. данных?

[Константин]

Farid А как проводить аунтифткацию пользователя тогда ? В зашифрованном виде то можно хранить ?

[АртемЪ]

Константин, Кого хранить? И причем тут аутентификация?

[Константин]

АртемЪ, Давайте подумаем, зачем же нужны пароли, ещё и с логинами )) Речь идёт о хранении паролей (это тема вопроса, если что). Так вот: пароль, который вводит пользователь, нужно сравнить с тем, что хранится в БД или где либо ещё. А вы пишите, что пароли хранить не надо. Так вот: Как проводить аутентификацию, если пароли нигде не хранятся и не с чем сравнивать ?

[АртемЪ]

Константин, Хранить пароли нельзя, и их никто никогда не хранит на стороне сервера.
Единственное место где должен хранится пароль - голова пользователя который его придумал.
В БД на сервере хранится только хэш пароля.
Хэши и сравниваются.

[Константин]

АртемЪ, хорошо, спасибо

Answer 5

[Дмитрий Шицков]

Логины в БД
Пароли в sha256, хотябы - в БД
Платежные/карточные данные вам запрещено хранить, пока не будете следовать стандарту pci dss