PHP - 在cookie中存儲密碼是否安全？

Question

可能重複：
PHP storing password in cookie

在登錄系統，如果用戶想要保持登錄狀態，則該密碼需要存儲在瀏覽器cookie。我已經瀏覽了許多關於SO的問題，並發現它沒有任何安全的將密碼存儲在瀏覽器cookie中。我不知道我是不是像

$string = 'snfcikkfbnvekrew'; 
    $salt = md5($passwrod.$string); 
    $password = md5(sha1(md5("$salt$string$salt"))); //or some other random sequence of encryption functions 

我只是想知道如果有人訪問cookie可以執行什麼樣的攻擊？

Answer 1

爲什麼您需要在cookie中存儲密碼？爲什麼不使用其他用戶標識符，如內部用戶標識或某種某種臨時值？

「商店」和「密碼」是應該很少一起使用的兩個詞，並且當它們被使用時應仔細檢查。

Answer 2

千萬不要嘗試在cookie中存儲密碼。它最好在cookie中存儲session_id，而在服務器上的會話中使用密碼。你無法想象黑客是如何輕鬆解碼你剛編碼的字符串的。

Answer 3

如果有人訪問cookie，即使它被散列，它們也會與您網站的用戶擁有相同的訪問權限，直到cookie過期。即使到期後，除非服務器上的密碼已更改，否則仍可使用相同的散列值進行登錄。

如果您希望允許他們在未登錄的情況下再次訪問密碼，請設置一個cookie與其他用戶帳戶隨機存儲的隨機令牌值。在每次訪問頁面和表單提交時，您都可以重新生成並存儲新的隨機令牌並將Cookie重置爲新值。這樣，存儲的值就會不斷變化，所以如果惡意用戶在運輸過程中扣留了cookie，它們可能在使用它時已經發生了變化。

最後，如果您打算爲以後登錄的任何值進行存儲，您應該通過SSL進行操作，並且只通過SSL發送cookie。

Answer 4

pasword本身並不需要存儲在cookie中，因爲您永遠無法檢索它並反轉它以證明它是正確的密碼。但如果你想使用密碼/電子郵件/ recId /任何你可以在內部檢查的算法組合，然後繼續，然後鹽你的字符串。我可能會使用一些加密的或可逆的UID的組合具有獨特和重新創建加密密鑰一起，所以我可以做的有問題的記錄的查詢和驗證，如

select 1 as loggedIn from userTable as u where u.uid=[cookie.uid] and md5(concat(u.email,u.accountcreated,u.lastlogin))=[cookie.hash] 

Answer 5

使用$_SESSION而不是炮製自己cookie的系統，而是使會議最後一段時間：

// keep user logged in 6 months 
session_set_cookie_params ($lifetime = 6 * 30 * 24 * 60 * 60); 
session_start(); 

if ($login == TRUE) { 
    $_SESSION["user"] = $user_name_or_id; 
} 

Answer 6

我已經取得了巨大成功的方法在「安全cookie協議解釋說：」使用（6頁）

http://www.cse.msu.edu/~alexliu/publications/Cookie/cookie.pdf