it-swarm-id.com

Saya hanya mengirim nama pengguna dan kata sandi melalui https. Apakah ini ok?

Ketika seorang pengguna masuk ke situs saya, mereka mengirimkan nama pengguna dan kata sandi mereka kepada saya melalui https. Selain ssl, tidak ada kebingungan khusus pada kata sandi - ia tinggal di memori di browser yang jelas.

Apakah ada hal lain yang harus saya lakukan? Haruskah saya menyimpannya dengan hash, bahkan di RAM?

53
Riley Lark

Ini baik Anda tidak perlu melakukan hal lain. Tidak perlu untuk hash atau mengaburkannya di RAM.

Anda harus berhati-hati untuk meng-hash kata sandi dengan tepat di sisi server sebelum menyimpannya dalam memori persisten (mis., Dalam basis data), dan Anda harus berhati-hati menggunakan metode yang tepat untuk hashing kata sandi. Lihat, misalnya, Bagaimana cara menggunakan kata sandi hash dengan aman? , Metode hashing kata sandi mana yang harus saya gunakan? , Algoritma hash kata sandi yang paling aman? , Apakah ada pakar keamanan merekomendasikan bcrypt untuk penyimpanan kata sandi? .

Jika Anda ingin memberikan keamanan tambahan untuk pengguna Anda, berikut adalah beberapa langkah yang bisa Anda ambil:

  • Gunakan SSL/TLS di seluruh situs. Segala upaya untuk mengunjungi situs Anda melalui HTTP harus segera dialihkan ke HTTPS.

  • Aktifkan HSTS di situs Anda. Ini memberitahu browser untuk hanya terhubung ke Anda melalui HTTPS. Paypal menggunakannya. Ini didukung dalam versi terbaru Firefox dan Chrome.

Saya tidak mengatakan Anda perlu melakukan hal-hal ini (meskipun SSL/TLS di seluruh situs membuat perbedaan besar). Tetapi ini adalah beberapa opsi yang dapat membantu memperkuat keamanan terhadap beberapa vektor serangan umum.

43
D.W.

Satu hal tambahan yang dapat Anda lakukan adalah menggunakan sertifikat klien. Server hanya dapat menjamin untuk dirinya sendiri bahwa tidak ada MitM dengan memerlukan sertifikat klien. Jika tidak, ia harus mempercayai klien untuk memvalidasi dengan benar tidak adanya MitM. Ini lebih dari banyak layanan yang harus mau dipercaya.

6
Steve Dispensa