Пароль

← →
Брэд (2009-01-07 14:54) [0]

Делаю на своем сайте регистрацию. После введения логина и пароля проверяю на наличие в базе такого логина. Если он есть, пишу об этом. Не знаю как быть с паролем. Не хочется генерировать пароль и отправлять его по почте юзеру. Лучше, когда юзер сам его придумает. Но вот проверять ли наличие пароля в базе? если такой есть, сигнализировать об этом пользователю? Если он узнает что такой пароль есть, это же угроза безопасности. Если не сигнализировать, нормально ли то, что будут два юзера с один. паролями?

← →
{RASkov} © (2009-01-07 15:06) [1]

> [0] Брэд (07.01.09 14:54)
> нормально ли то, что будут два юзера с один. паролями?

А почему нет? Ведь просто пароль - этого мало. Нужно знать связку имя+пароль, а вот две одинаковых таких связки уже не допустимо.

← →
Брэд (2009-01-07 15:08) [2]

> А почему нет?

Не знаю..может так случиться, что роковая опечатка авторизует не того кого надо..

← →
brrr © (2009-01-07 15:21) [3]

1) Логин хранится в БД как есть
2) Храним md5 от пароля, который создал пользовтель
3) При любой ошибке выводим сообщение "неверный логин или пароль"
4) При восстановлении пароля генерим абракадабру и высылаем юзеру на мыло

Зачем изобретать велосипед?

← →
Брэд (2009-01-07 15:26) [4]

> Зачем изобретать велосипед?

Да незачем , конечно, все так и делаю..просто (3) как-то неопределенно..

← →
Поросенок Винни-Пух © (2009-01-07 15:28) [5]

Не знаю..может так случиться, что роковая опечатка авторизует не того кого надо..

роковая опечатка и два одинаковых пароля никак друг с другом не связаны
пароли могут быть разные, я могу ошибиться при вводе и залогиниться как сосед, а не как я

← →
KSergey © (2009-01-07 16:08) [6]

> Брэд (07.01.09 15:26) [4]
> Да незачем , конечно, все так и делаю..просто (3) как-то неопределенно..

Все совершенно определенно: опечатка ведь может быть не только в пароле.
Да и не за чем тут особо наводить на мысль что и где именно не правильно: как сказано вами же это угроза безопасности.
А то ведь в рвении заботы о юзере можно докатиться до подсказывании в какой именно букве пароля и какая опечатка допущена :)

← →
brrr © (2009-01-07 16:13) [7]

Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль. (c) bash.org.ru

Пункт 3 - при любом несовпадении пары логина и пароля с той, что в БД :)

← →
Брэд (2009-01-07 16:28) [8]

> Пункт 3 - при любом несовпадении пары логина и пароля с
> той, что в БД :)

Неопределенно для регистрируеющегося. Я и так при несовпадении пары логин-пароль определенному регулярному выражению, вывожу об этом предупреждение, после этого "неправильный логин-пароль" будут неуместны.
Короче, буду проверять только на наличие логина. Спасибо.

← →
Anatoly Podgoretsky © (2009-01-07 17:10) [9]

> Брэд (07.01.2009 16:28:08) [8]

Через некоторое время от твоей базы или от данных пользователя останутся рожки да ножки.

← →
Брэд (2009-01-07 17:15) [10]

> Через некоторое время от твоей базы или от данных пользователя
> останутся рожки да ножки.

Объясните, будьте добры..

← →
Anatoly Podgoretsky © (2009-01-07 17:25) [11]

> Брэд (07.01.2009 17:15:10) [10]

Логин определить не сложно, а поскольку ты собираешь проверять только логин, то результат предсказуем.

← →
Брэд (2009-01-07 17:27) [12]

> Логин определить не сложно, а поскольку ты собираешь проверять
> только логин, то результат предсказуем.

Я про регистрацию, не про аунтификацию

← →
Брэд (2009-01-07 17:27) [13]

Удалено модератором

← →
z (2009-01-07 18:49) [14]

Можно ведь в базе хранить в поле пароля - md5_hash (Логин+пароль)

← →
asail (2009-01-07 19:48) [15]

> Нужно знать связку имя+пароль, а вот две одинаковых таких
> связки уже не допустимо.

Недопустимо даже просто 2 одинакровых имени пользователя. Пароли могут быть одинаковыми спокойно... ИМХО

> brrr © (07.01.09 15:21) [3]
> 1) Логин хранится в БД как есть
> 2) Храним md5 от пароля, который создал пользовтель
> 3) При любой ошибке выводим сообщение "неверный логин или пароль"
> 4) При восстановлении пароля генерим абракадабру и высылаем юзеру на мылоЗачем изобретать
> велосипед?

+1 Если не нравится md5, используйте gost. Не разрешайте вводить пароли меньше указанной Вами длинны. Проверьте на наличие больших, маленьких букв, а так же цифр в пароле при регистрации. Ну, и к Брюсу Шнайеру на приём ;)

Пароль Найти похожие ветки