[PHP-users 19158]Re: CRYPTのタイミングについて

[Y.Watanabe]

渡辺です。

Tadashi Jokagi wrote on 2003/12/01 12:16
with Subject: [PHP-users 19157] Re: CRYPTのタイミングについて

>kohei-wさんの「[PHP-users 19156] CRYPTのタイミングについて」から
>>それをcrypt($今回のユーザーログインの値)と付き合わせれば認証は
>>可能なのだと思いますが、これでは、パスワードを忘れたお客様に
>>こちらが告知することが出来なくなってしまいます。
>>だとすると、MYSQLには平文を登録してそこからPHPに引き出したときにだけ
>>暗号化すればよいのでしょうか。
>
>      てっとりばやい全然違う方法ですが(苦笑)パスワード忘れのときはラン
>    ダムパスワードを作成=>送付し, 改めてパスワードを設定してもらうのも
>    ありがちなパターンです.

僕もこの方法をおすすめします。
システムの種類を問わず、パスワードの管理は、
暗号化保存＆パスワード忘れのときは新規発行して
それを送付（その後ユーザー自身が変更）、というのが
本来あるべき姿では？
＃ 平文のままのパスワードをＤＢやファイルに持ってるシステムが氾濫
＃ している今の状況のほうがおかしいんだと思う。


>それと付随してPHPからMYSQLにアクセスする際に
>mysql_connect("localhost","アカウント","パスワード")を
>記述しますが、その場合にも同様に
>DBへのアクセス権が丸見えになってしまうのですが、
>これにも何か手があるのでしょうか？

これについてはたぶん「手は無い」に一票っす。