аутентификация
4 статей с этим тегом
Что такое passkey? Беспарольный вход, у которого нечего красть
Passkey — это вход без общего секрета. Ваше устройство подписывает данные закрытым ключом вместе с биометрией, а сервер хранит только соответствующий открытый ключ. Утечкой воспользоваться нельзя, а подпись привязана к домену — на поддельном сайте она не завершится, что делает passkey структурно устойчивым к фишингу. Безопаснее, чем пароль + SMS-код; мигрируйте сначала важные аккаунты.
Что такое хеширование паролей? Безопасное хранение паролей через одностороннее преобразование
Хеширование паролей означает хранение пароля как одностороннего, необратимого преобразования. Никогда не храните пароли в открытом виде. В отличие от шифрования, расшифровать обратно нельзя — в этом и смысл. Но обычные MD5/SHA-256 падают перед радужными таблицами и перебором. Решение: соль на каждого пользователя плюс намеренно медленный хеш (bcrypt/Argon2/scrypt). Не изобретайте своё — используйте стандартную функцию.
Как безопасно хранить пароли — правильный способ хеширования и соли
Практическое руководство по безопасному хранению паролей на сервере. Поймите, почему открытый текст, шифрование и сырые хеши все проваливаются, затем сойдитесь на одном ответе: соль для каждого пользователя плюс намеренно медленный хеш (рекомендуется Argon2id, bcrypt/scrypt как альтернативы). Не изобретайте своё — используйте стандартную функцию, со временем повышайте стоимость и переносите слабые хеши перехешированием при входе.
Что такое JWT (JSON Web Token)? Как работает подписанный пропуск и как использовать его безопасно
JWT — это защищённый от подделки «пропуск», который сервер выдаёт, подписывая его. Он состоит из трёх частей — header.payload.signature — и сервер проверяет подпись, чтобы подтвердить подлинность. Остерегайтесь: (1) всегда проверяйте подпись и фиксируйте ожидаемый alg (отклоняйте alg:none); (2) содержимое может прочитать кто угодно, поэтому не кладите туда секреты; (3) держите короткий срок действия и имейте стратегию отзыва. Декодирование (чтение) и проверка (подтверждение подлинности) — разные вещи.