今天,我的经理向我提出了一个问题,问我关于什么是可以接受的Web表单应用程序身份验证设计的想法,特别是对于许多流行的浏览器的性质而言,“典型用户名”密码登录字段“记住密码” 。
我在想出一个我认为可以接受的答案时遇到了麻烦。鉴于Sony令人尴尬的安全漏洞,即使存储在人身上的数据敏感度较低,我也确实要小心。我们不存储社会安全号码,甚至不存储地址,但是我们存储电话号码,电子邮件地址和访客的照片。
他担心用户可以简单地在公共终端上记住密码,然后有人可以简单地跳到该终端上并以未经授权的方式开始查看或修改数据。但是,我相当确定,至少在Windows工作站上,浏览器不会跨Windows用户帐户“记住密码”。
除此之外,我正在服务器端实现一种单向密码加密(将加密的密码存储在数据库中,在服务器上加密用户提供的密码,与数据库中的加密字符串进行比较)。目前尚无合并SSL加密的计划,但这仍然是一个选择。
这种方法是否存在主要的安全缺陷?您有更好的建议吗?