You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
 
 
 
 
 
 

3.8 KiB

title: เกบพาสเวดผใชเปน text ธรรมดา date: Mar 9, 2015 author: sipp11 Email: sipp11@gmail.com category: tech tags: security, failed icon: briefcase slug: sipa-or-th-store-password-in-plaintext

วยความทปกตไมอยไดเขาไปใน web SIPA - สำนกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต เทาไหรเลยจำ password ไมไดดทายกลบไดพบสงทาสะพรงกลว สำหรบองคกร ซอฟตแวร ของประเทศทไมควรจะทำอะไรใหนขเกยจน

ญหามนกอยา พอ forget password แลวนน mail ทเคาสงกลบมาเปนดานลางน!

Plaintext

นอาจจะดไมแปลกสำหรบบางคนนะครบ แตการทเคาสง password เดมเรากลบมาไดน แปลวา เคากองเกบ password เราเปนแบบนนดวย? แสดงวา ถาเกด database server เคาถกโจมต password ของเรากจะถกเอาไปใชายๆ อยางนนเลย

แลวควรจะตองทำอยางไร?

อยางงายและประหยดทดคอ การเกบ password เปน hash digest ครบ เพราะการทำเปน digest นนจะเปน 1-way encryption ไมสามารถยอนกลบไปดไดา จรงๆ password ทใชใชนคออะไรกนแน การตรวจสอบนนกไมยากเพราะเมอผใชใส password เพอจะเขาระบบกทำการหา hash ใหมเพอเทยบกนกบทเกบไวในฐานขอมลเด

การไดมาซง hash digest นนกไมไดเดยว กจะมงแตานๆ md5ใชนเกลอนแตงดกวาไมครบ สำหรบปจจนนนอยางนอยกควรจะใช sha-1 (Secure Hash Algorithm 1)

สำหรบเวลา forget password กควรจะสราง token จำกดเวลาไวเพอใหใชเขาถง email นนไดจรงๆ เขาไป reset password ไดวเองตามเงอนไขตางๆ เพราะสำหรบผใหบรการแลวนน กไมความจำเปนทจะร password ของผใชวยซำไป

ตอนนขอเศราซกพกครบ องคกรของชาตเราบคลากรไมพอ? หรอไมดจะทำให?