Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2009.03.15;
Скачать: [xml.tar.bz2];

Вниз

Пароль   Найти похожие ветки 

 
Брэд   (2009-01-07 14:54) [0]

Делаю на своем сайте регистрацию. После введения логина и пароля проверяю на наличие в базе такого логина. Если он есть, пишу об этом. Не знаю как быть с паролем. Не хочется генерировать пароль и отправлять его по почте юзеру. Лучше, когда юзер сам его придумает. Но вот проверять ли наличие пароля в базе? если такой есть, сигнализировать об этом пользователю? Если он узнает что такой пароль есть, это же угроза безопасности. Если не сигнализировать, нормально ли то, что будут два юзера с один. паролями?


 
{RASkov} ©   (2009-01-07 15:06) [1]

> [0] Брэд   (07.01.09 14:54)
> нормально ли то, что будут два юзера с один. паролями?

А почему нет? Ведь просто пароль - этого мало. Нужно знать связку имя+пароль, а вот две одинаковых таких связки уже не допустимо.


 
Брэд   (2009-01-07 15:08) [2]


> А почему нет?

Не знаю..может так случиться, что роковая опечатка авторизует не того кого надо..


 
brrr ©   (2009-01-07 15:21) [3]

1) Логин хранится в БД как есть
2) Храним md5 от пароля, который создал пользовтель
3) При любой ошибке выводим сообщение "неверный логин или пароль"
4) При восстановлении пароля генерим абракадабру и высылаем юзеру на мыло

Зачем изобретать велосипед?


 
Брэд   (2009-01-07 15:26) [4]


> Зачем изобретать велосипед?

Да незачем , конечно, все так и делаю..просто (3) как-то неопределенно..


 
Поросенок Винни-Пух ©   (2009-01-07 15:28) [5]

Не знаю..может так случиться, что роковая опечатка авторизует не того кого надо..

роковая опечатка и два одинаковых пароля никак друг с другом не связаны
пароли могут быть разные, я могу ошибиться при вводе и залогиниться как сосед, а не как я


 
KSergey ©   (2009-01-07 16:08) [6]

> Брэд   (07.01.09 15:26) [4]
> Да незачем , конечно, все так и делаю..просто (3) как-то неопределенно..

Все совершенно определенно: опечатка ведь может быть не только в пароле.
Да и не за чем тут особо наводить на мысль что и где именно не правильно: как сказано вами же это угроза безопасности.
А то ведь в рвении заботы о юзере можно докатиться до подсказывании в какой именно букве пароля и какая опечатка допущена :)


 
brrr ©   (2009-01-07 16:13) [7]

Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль. (c) bash.org.ru

Пункт 3 - при любом несовпадении пары логина и пароля с той, что в БД :)


 
Брэд   (2009-01-07 16:28) [8]


> Пункт 3 - при любом несовпадении пары логина и пароля с
> той, что в БД :)

Неопределенно для регистрируеющегося. Я и так при несовпадении пары логин-пароль определенному регулярному выражению, вывожу об этом предупреждение, после этого "неправильный логин-пароль" будут неуместны.
Короче, буду проверять только на наличие логина. Спасибо.


 
Anatoly Podgoretsky ©   (2009-01-07 17:10) [9]

> Брэд  (07.01.2009 16:28:08)  [8]

Через некоторое время от твоей базы или от данных пользователя останутся рожки да ножки.


 
Брэд   (2009-01-07 17:15) [10]


> Через некоторое время от твоей базы или от данных пользователя
> останутся рожки да ножки.

Объясните, будьте добры..


 
Anatoly Podgoretsky ©   (2009-01-07 17:25) [11]

> Брэд  (07.01.2009 17:15:10)  [10]

Логин определить не сложно, а поскольку ты собираешь проверять только логин, то результат предсказуем.


 
Брэд   (2009-01-07 17:27) [12]


> Логин определить не сложно, а поскольку ты собираешь проверять
> только логин, то результат предсказуем.

Я про регистрацию, не про аунтификацию


 
Брэд   (2009-01-07 17:27) [13]

Удалено модератором


 
z   (2009-01-07 18:49) [14]

Можно ведь в базе хранить в поле пароля - md5_hash (Логин+пароль)


 
asail   (2009-01-07 19:48) [15]


> Нужно знать связку имя+пароль, а вот две одинаковых таких
> связки уже не допустимо.

Недопустимо даже просто 2 одинакровых имени пользователя. Пароли могут быть одинаковыми спокойно... ИМХО


 
korneley ©   (2009-01-07 19:57) [16]


> brrr ©   (07.01.09 15:21) [3]
> 1) Логин хранится в БД как есть
> 2) Храним md5 от пароля, который создал пользовтель
> 3) При любой ошибке выводим сообщение  "неверный логин или пароль"
> 4) При восстановлении пароля  генерим абракадабру и высылаем юзеру на мылоЗачем изобретать
> велосипед?

+1 Если не нравится md5, используйте gost. Не разрешайте вводить пароли меньше указанной Вами длинны. Проверьте на наличие больших, маленьких букв, а так же цифр в пароле при регистрации.  Ну, и к Брюсу Шнайеру на приём ;)



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2009.03.15;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.48 MB
Время: 0.046 c
15-1231158936
ВованХ
2009-01-05 15:35
2009.03.15
Как установить компоненты DevExpress в VCL


2-1232915698
cchiko
2009-01-25 23:34
2009.03.15
Как мне в delphi запустить импорт базы данних


15-1232171080
KilkennyCat
2009-01-17 08:44
2009.03.15
Специально для Б


15-1231596547
Slider007
2009-01-10 17:09
2009.03.15
С днем рождения ! 2 января 2009 пятница


15-1231254171
Palladin
2009-01-06 18:02
2009.03.15
Конструкция языка JavaScript





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский