Задать вопрос
@yavaskript

Как хранить пароли пользователей так, чтобы админстратор в дальнейшем имел доступ к любой учетной записи?

Как известно, хранить пароли в БД в том виде, в каком их задает пользователь - это плохая идея. В базе данных нужно хранить именно хэш, а при входе пользователя проверять пароль на соответствие хэшу. Расхэшировать пароль, чтобы посмотреть, какой он в оригинале, не должно быть возможным. Но как тогда администратору знать, какой пароль задал пользователь, чтобы иметь доступ к его учетной записи?
  • Вопрос задан
  • 393 просмотра
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 6
@bkosun
Администратору не нужно знать пароль, достаточно реализовать метод, который позволит администратору войти под именем пользователя без необходимости вводить пароль.
Ответ написан
@MechanID
Админ хостинг провайдера
Типичные варианты:
1 Сделать так чтобы функционал и права администратора позволяли зайти как любой пользователь без проверки пользовательского пароля.
2 Или администратор сбрасывает пароль пользователя на новый и с помощью нового пароля заходит в учетную запись пользователя.
Ответ написан
Комментировать
Sanes
@Sanes
Вместо хэширования использовать шифрование. Если хотите его показывать.
Ответ написан
Комментировать
anton_reut
@anton_reut
Начинающий веб-разработчик
Создай роль - СуперЮзер и дай ему право копаться в любом аккаунте.
Ответ написан
Комментировать
Jump
@Jump
Системный администратор со стажем.
Как хранить пароли пользователей так, чтобы админстратор в дальнейшем имел доступ к любой учетной записи?
Администратор и так имеет полный доступ к любой учетной записи, для этого ему точно не нужен пароль пользователя.

Расхэшировать пароль, чтобы посмотреть, какой он в оригинале, не должно быть возможным.
Расхэшировать это как вообще? Это что то новое. Из хэша в любом случае невозможно никакими методами узнать оригинал, с которого получен хэш.

Но как тогда администратору знать, какой пароль задал пользователь, чтобы иметь доступ к его учетной записи?
Никак, ибо ему это не нужно.
Пароль должен знать только пользователь и никто более.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Зачем?

Что такого есть у пользователя, что он может этим паролем скрыть от админа? (Хинт: ничего). Он и без всякого пароля имеет доступ ко всем учеткам.

А если Вы задумали делать втихушку имперсонацию - это дурная идея и такому сайту я бы точно не доверял. Тут и огрестись можно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы