有两种方法可以记录任何密码 - 我没有看到任何一个密码有任何问题。
1. Not log any password, just log the user.
2. Log '******' against the password. logger.info("User=" + user + "logged with Password=******");
我们是否有针对这些情况的最佳做法?
答案 0 :(得分:9)
在日志中记录'******'有什么意义?它只是占用空间而不提供任何信息的额外文本。把它留下来吧。
答案 1 :(得分:2)
只要没有保存有关密码的信息,任何事情都可以。
答案 2 :(得分:1)
我永远不会在任何日志文件中都有密码。
答案 3 :(得分:0)
我认为应该记录密码的存在,以便将来有人可以读取日志并了解用户的登录方式。(密码,OID e.t.c.)
答案 4 :(得分:0)
根据您的数据库结构,没有真正意图记录他们登录的密码,因为可以推断,如果登录,则使用当前密码:)
如果您有密码更改的历史记录(显然,密码以散列格式存储,因此无论如何都无法撤消),您可以完全依赖此系统,以确定是否由于某种原因需要,他们确实使用密码X,他们在日期FOO和日期BAR之间。
无论如何,关键是,user X logged in.
是真正需要记录的所有内容。
答案 5 :(得分:0)
不要打扰。如果您的蒙面密码包含与密码长度相同的星号,则记录星号是危险的 - 您通过这样做来提供有关密码的信息。另一种方法是始终记录不同数量的星号,但是当你采取这样做时,真的有意义吗?
答案 6 :(得分:0)
请勿记录密码或***
。如果您想了解不同的身份验证方法,请对其进行分类并相应地记录这些方法。
我不明白为什么记录密码或***
会有任何好处:事实上,记录密码是完全禁止和安全的风险。
答案 7 :(得分:0)
首先,你为什么要这样的东西?
我认为还有更多选择(从更多到更不安全)
不记录密码
为了识别一些已知的密码列表,使用例如密码来加密密码密码。 MD5 / SHA1。存储星号的数量是一种形式,如果是这种形式,但不太安全。
恢复密码使用例如加密密码。 AES。
记录纯文本密码。