[PHP-users 19158]Re: CRYPTのタイミングについて

Y.Watanabe yuw @ msj.biglobe.ne.jp
2003年 12月 1日 (月) 12:24:28 JST


渡辺です。

Tadashi Jokagi wrote on 2003/12/01 12:16
with Subject: [PHP-users 19157] Re: CRYPTのタイミングについて

>kohei-wさんの「[PHP-users 19156] CRYPTのタイミングについて」から
>>それをcrypt($今回のユーザーログインの値)と付き合わせれば認証は
>>可能なのだと思いますが、これでは、パスワードを忘れたお客様に
>>こちらが告知することが出来なくなってしまいます。
>>だとすると、MYSQLには平文を登録してそこからPHPに引き出したときにだけ
>>暗号化すればよいのでしょうか。
>
>      てっとりばやい全然違う方法ですが(苦笑)パスワード忘れのときはラン
>    ダムパスワードを作成=>送付し, 改めてパスワードを設定してもらうのも
>    ありがちなパターンです.

僕もこの方法をおすすめします。
システムの種類を問わず、パスワードの管理は、
暗号化保存&パスワード忘れのときは新規発行して
それを送付(その後ユーザー自身が変更)、というのが
本来あるべき姿では?
# 平文のままのパスワードをDBやファイルに持ってるシステムが氾濫
# している今の状況のほうがおかしいんだと思う。


>それと付随してPHPからMYSQLにアクセスする際に
>mysql_connect("localhost","アカウント","パスワード")を
>記述しますが、その場合にも同様に
>DBへのアクセス権が丸見えになってしまうのですが、
>これにも何か手があるのでしょうか?

これについてはたぶん「手は無い」に一票っす。



PHP-users メーリングリストの案内