Estoy tratando de implementar un "remember me" característica, siguiendo las directrices proporcionadas aquí: The definitive guide to form-based website authentication, y aquí: http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/mejor manera para hash un "yo recuerde" cookie símbolo
Parece ser que el " cookie token "debe ser hash cuando se almacena en DB (si un atacante tiene acceso a DB, los tokens no desfasados se ven como login/contraseñas simples, lo que permite iniciar sesión en el sitio web).
Buscando un buen algoritmo de hash, he encontrado esta técnica recomendada utilizando bcrypt: https://stackoverflow.com/a/6337021/488666
Yo lo he probado y se encontró que con la cantidad de rondas propuesto (15) conduce a una muy tiempo de procesamiento lento (2,3s de hash + 2,3s verificar en un procesador Intel Core 2 Duo E8500 + 4 GB de RAM)
sé que algoritmos hash deben ser relativamente lento para obstaculizar los atacantes, pero a ese nivel, que obstaculiza usuarios para usar el sitio web :)
¿Crees que hay menos rondas (p. 7, que reduce el tiempo de procesamiento a 10 ms + 10 ms) será suficiente?
posible duplicado de [¿Cuál es la mejor manera de implementar "recordarme" para un sitio web?] (Http://stackoverflow.com/questions/244882/what-is-the-best-way-to-implement- Remember-me-for-a-website) – symcbean
Usar un hash es una pérdida de tiempo costosa para esto: use un valor aleatorio – symcbean
Los documentos/artículos recomendados/artículos de la mejor práctica recomiendan encarecidamente el token del token en DB; Simplemente estoy buscando consejos sobre una forma apropiada de hacerlo. –