[OpenSlides users-de] Passwortreminder und Shibboleth
pirate at valio.ch
pirate at valio.ch
Fr Feb 14 15:33:17 CET 2014
Danke an Norman und Oskar für die Antworten.
Dann werde ich es wohl als Plugin mal probieren.
@Max
> Sobald eine Webseite in der Lage ist, mir mein originales Password
> zuzusenden, lösche ich meinen Account und kehre ihr den Rücken.
>
> Alles andere ist ein riesiges Sicherheitsloch.
Nein, das meinte ich definitiv nicht. Ein PW sollte immer nur mit
einem Key und mit Salt abgelegt werden; entsprechend soll es auch nie
im System als Klartext vorhanden sein, sondern direkt als erstes
Element gehasht und dann aus dem Speicher entfernt werden
(Verfehlungen dagegen lassen sich noch gut am Anfang des Codes
nachvollziehen und ein daran angesetztes "Verstecken" ist auch nicht
möglich)
http://en.wikipedia.org/wiki/Salt_(cryptography)
Ich bin auch für Aktivierungslinks via Mail. Sofern ich es als Plugin
entwickle kann auch definitiv niemand behaupten, dass die Software
dadurch für ihn unsicherer würde, weil ja niemand dieses Plugin
installieren muss und auch kein softwareseitiger Schalter umgangen
werden könnte bei einer Auswahl durch den Benutzer.
-pat
More information about the users-de
mailing list