0
我正在研究一個有紅色按鈕的應用程序。這意味着每個客戶帳戶都有兩個自動生成的(祕密)密鑰。當某人在特殊(公共)頁面上輸入這些密鑰時,將會啓動某個過程。這個過程並不重要,但是安全地檢索密鑰
這一切都照顧好了,密鑰是在用戶帳戶創建時自動生成的,存儲在數據庫中加密後一次顯示給用戶,因此他可以按照他認爲合適的方式分配密鑰。如果他願意,他當然可以重置鑰匙。
事情是,有些客戶一直忘記鑰匙。我們的解決方案是重置密鑰並重新分配新密鑰,但對於某些客戶來說這是不實際的。我想提供檢索密鑰而不重置它們的選項。
我的想法是能夠使用用戶的密碼解密密鑰,這意味着已登錄的用戶將不得不再次輸入密碼,密碼用於加密密鑰,現在用於解密密碼。我只是不確定技術上的工作方式(我是否可以使用加密/解密算法?),以及在使用這種技術之前是否有任何我應該考慮的問題。
有沒有人有任何想法呢?也許甚至有更好的建議?
這是超級過度鍛造。只要您使用SSL,簡單的密碼驗證和傳統的通過電子郵件重設密碼就足夠了。如果您沒有使用SSL,那麼您使用多少個密鑰或生成安全性無關緊要...... – meagar 2011-03-29 16:31:15
您可以將密鑰視爲用戶名/密碼組合,但這不是重點所有。重點是我們需要能夠以某種方式檢索這兩個密鑰。通過電子郵件進行密鑰重置與SSL結合是我們現在使用的方式,它不夠用。 – 2011-03-30 11:29:20