记住用户复选框的良好安全方法

Question

我有一个登录页面，要求输入用户名和密码。该页面有一个复选框“记住我”。

身份验证是：对于提供的用户名，使用与用户数据库记录一起存储的盐将提供的密码转换为哈希值，并将该哈希值与存储的哈希值进行比较。

当用户勾选该框时，我应该在他们的 cookie 中存储什么，以便他们下次访问时自动登录？

我认为一个好方法是将他们的用户名和密码的散列值存储在 cookie 中，并在用户下次访问时重新验证用户身份。这些盐将被保存在数据库中。

Answer 1

我不会在客户端 cookie 中存储散列密码。我将在用户和长期会话之间创建另一个抽象。我将首先阅读以下文章，以获得有关挑战的一些想法：

http:// Fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/

该文章的关键部分是并非所有登录都应该生而平等。

Answer 2

这取决于您想要维护的安全级别。当我选中“记住我”框时，我只希望它记住我的用户名。我仍然想像往常一样提供我的密码。

在 cookie 中存储用户名和散列密码对我来说似乎是个坏主意。

Answer 3

如果您确实想让用户保持登录状态，那么您应该在 cookie 中存储唯一的登录令牌，而不是用户名或散列密码。当您的服务器收到登录令牌时，您可以将其与持久登录用户的数据库进行比较，并查看该令牌对应于哪个用户。服务器应存储登录令牌、与该令牌关联的用户名以及到期时间。一旦使用了令牌，它就应该失效，因此不能重复使用。

这最大限度地减少了泄露给客户端的信息，并且限制了攻击者在设法窃取 cookie 的情况下恢复合法用户密码的机会（这相对容易做到）。

我强烈建议您在所有 cookie 上设置安全标志，以便它们仅通过安全连接发送，并确保持久登录的超时时间相对较短。此外，最好进行额外的授权检查，例如确保登录令牌与特定 IP 地址或浏览器指纹相关联，以帮助防止偶然攻击。这仍然不会严重阻碍坚定的攻击者，但可能会阻止一些脚本小子。

最后，请考虑采纳@Craig T 的建议，只记住用户名，而不是让用户保持登录状态。持久登录非常危险，因此您应该仔细考虑用户从中获得的价值与潜在成本。

非常感谢您在数据库中正确存储了密码！令人惊讶的是有多少人认为他们不需要盐。