Wie also pflegen Webseiten Passwörter langfristig? Ich meine wirklich sehr wichtige Webseiten, sagen eine Regierung oder eine große E-Commerce- oder Social-Networking-Website.Wie speichern Webseiten Passwörter langfristig?
Sicher, sie speichern einen Hash (oder gesalzenen Hash) des Passworts im Webserver-verbundenen Datenspeicher, der für die Authentifizierung verwendet wird, aber ist es das?
HINWEIS: Ich frage nicht nach Hashing oder Salting, ich frage, wo die Metadaten speichern (z. B. Hash oder gesalzen Hash), so dass es immer verfügbar ist?
In der Tat, wie speichern Websites wie Facebook Passwörter? Ich nehme an, sie würden mehrere Kopien des Haschs auf der ganzen Welt verteilt haben? Und ab und zu auf Band gesichert?
Die Verwendung einer Hash-Funktion reicht nicht aus und nur das Hinzufügen eines Salzes tut wenig um die Sicherheit zu verbessern. Stattdessen iterieren Sie über einen HMAC mit einem zufälligen Salz für etwa 100ms und speichern Sie das Salz mit dem Hash. Verwenden Sie Funktionen wie 'PBKDF2',' Rfc2898DeriveBytes', 'password_hash',' BCrypt' und ähnliche Funktionen. Es geht darum, den Angreifer dazu zu bringen, viel Zeit mit der Suche nach Passwörtern zu verbringen. – zaph
Ich weiß es nicht genau, aber normalerweise benutzen sie die zwei Mechanismen, die Sie beschrieben haben. Replikation (Kopieren der Daten über mehrere Instanzen) und Backups. Beide hängen von der verwendeten Datenbank ab. Daher gibt es keine einheitliche Antwort, aber die meisten Datenbank-Engines implementieren diese. Wenn Sie diese selbst verwenden möchten, finden Sie Informationen zum Einrichten von Replikation und Sicherungen für Ihre spezifische Datenbank-Engine. – Lunar