security - 在 cookie 中保存散列密码真的很危险吗？

Question

关于在cookie中保存哈希密码的安全风险有很多讨论，因为在访问用户的计算机时，黑客可以使用保存的密码登录。如果黑客有权访问用户的计算机，他就可以捕获密码，因为浏览器也会在本地保存密码(当然是加密的)。 cookie中设置的密码与浏览器保存的密码有什么区别？

出于显而易见的原因，应该发送临时 GUID 而不是密码。无论如何，我相信限制对记录的 IP 的访问可以为攻击者使用本地保存的 GUID 关闭大门。当然，它会限制记录时间的长度，因为IP通常是动态的并且定期变化；但我认为其显着的安全性是值得的。有什么想法吗？

Answer 1

我想您想要在 cookie 中存储散列密码的原因是创建一个“记住我”cookie。因此，您需要为 cookie 提供一个 secret 值，以便其他人无法轻易猜到它。任何有权访问该值的人都可以作为该用户登录，因此它实际上是一个“额外密码”。

这里涉及两个风险:

最重要的是暴露密码的风险。这不仅会使您的网站面临风险，也可能使其他网站面临风险。大多数用户在所有事情上都会重复使用他们的密码，并且该密码可能会让入侵者访问用户的电子邮件帐户和网上银行。有权访问哈希值的人可能会使用暴力破解或彩虹表来发现原始密码(彩虹表是预先计算的哈希值的长列表)。彩虹表可轻松用于最多 8 个字符甚至更长的密码。您可以通过在创建哈希之前对密码加盐来避免这种情况，即超过 20 个字符(请记住将盐也存储在 cookie 中)。使用安全散列算法计算出的经过适当加盐处理的密码散列应该非常安全。

另一个风险与用户必须更改其原始密码以使散列密码字符串无效有关。该功能一旦开启，用户就不可能真正将其关闭。当他取消选中“记住我”按钮时，您可以删除 cookie，但如果 cookie 已被泄露，则不会产生任何影响。如果他的电脑被盗了怎么办？如果用户在一台计算机上选中了此按钮，则他必须有权访问该计算机才能禁用此功能。