0
Maximo와 인터페이스하는 IBM Worklight를 사용하여 자체 모바일 애플리케이션을 개발했습니다. 현재, 모든 사용자는 작성시 기본 암호로 설정된 Maximo 계정을 가져야합니다. 모바일 사용자가 앱에 로그인하면 Maximo로 자격 증명을 확인하고 적절하게 액세스가 허용/거부됩니다.Worklight에서 개발 한 모바일 애플리케이션에서 Maximo 암호를 변경하십시오.
내가하고 싶은 것은 사용자가 처음 로그인 할 때 (모바일 앱에서) 자신의 비밀번호를 변경 한 다음 그 이후 모든 일 (x 일)을 변경하도록하고 싶습니다.
이렇게하기 위해 호출 할 수있는 기존 서비스/메소드가 있다면 누구에게 알 수 있습니까? (내가 선호하는 방법).
나는 사용자 암호가 암호화 된 문자열로 저장된다는 것을 알고 있으며 동일한 암호화 방법을 복제 할 수 있다면 기존 문자열을 새 암호로 덮어 쓸 수 있습니다. 그러나 사용 된 암호화 방법은 무엇이며 어떻게 구현 되었습니까?
모든 조언/정보를 환영합니다.
감사합니다. Chris.
1. 사용자가 매월 (x) 일마다 비밀번호를 변경하도록 요구하는 것은 끔찍한 비밀번호로 이어질 수있는 끔찍한 방법이며 사용자는 다음과 같은 경우에 좋은 비밀번호 생성을 포기합니다. 그들과 함께 일어나서 암기하려는 노력은 자주 무효화됩니다. 2. 암호화 된 암호를 저장하지 마십시오. 즉 공격자가 원하는 것입니다. 따라서 DB와 암호화 키를 얻으면 모든 암호를 갖게됩니다. 대신 무작위 소금으로 mac'ed하고 최대 100ms에 대한 반복 암호를 저장해야합니다. PBKDF2, bcrypt, password_hash, 스크립트 또는 유사한 기능과 같은 방법을 사용하십시오. – zaph
다음은 모범 사례에 대한 링크입니다. OWASP (공개 웹 응용 프로그램 보안 프로젝트) [암호 저장 치타] (https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet#Leverage_an_adaptive_one-way_function)를 참조하십시오. Security Stackexchange의 [암호 해시 방법, The Theory] (http://security.stackexchange.com/questions/211/how-to-securely-hash-passwords/31846#31846)를 참조하십시오. – zaph
안녕하세요 - 정보 주셔서 감사합니다. 필자는 내부 직원 전용 엔터프라이즈 응용 프로그램이며 전용 응용 프로그램 저장소에서만 사용할 수 있다고 지적 했어야합니다. 따라서 회사 암호 정책을 준수해야하므로 암호를 변경해야합니다. 그렇지 않으면 위에서 지적한 바를 위해 다른 것을 구현할 것입니다.Maximo 루틴을 어떻게 든 호출 할 수 없다면 Maximo와 일치해야하는 주요 암호화 루틴은 서버 측에서 구현된다. 이것은 사용자를 멀리하고 보안의 여러 레이어 뒤에 그들을 잘 유지 ... – ChrisP