App Engine: Was sind Best Practices für die Übertragung eines Passworts und die sichere Speicherung in Google App Engine?

8

Ich frage mich, was auf dem neuesten Stand der Technik ist, Passwörter von einem Webformular zu übertragen und sie im Datenspeicher zu speichern.

Viele der letzten Beiträge verweisen auf bcrypt , aber es gibt kein reines Python Implementierungen, die eine Voraussetzung für App Engine ist.

Irgendwelche Vorschläge?

    
znq 14.02.2011, 18:34
quelle

3 Antworten

9

Beste Praxis? Verwenden Sie die Nutzer-API entweder mit Google-Konten oder mit OpenID, sodass Sie keine Passwörter speichern oder übertragen.

Wenn Sie es selbst tun müssen, übertragen Sie die Login-Daten über SSL, und speichern Sie das Passwort hashed, gesalzen und verstärkt , mit einem Schema wie PBKDF2 .

    
Nick Johnson 14.02.2011, 23:06
quelle
8

Sie können PyCrypto verwenden, das auf google-app-engine portiert wurde.

Sie sollten natürlich niemals die eigentlichen Passwörter speichern. Speichern eines Hash sollte ausreichen. Wenn der Benutzer sein Passwort eingibt, hashst du es erneut und vergleichst es mit dem gespeicherten Wert.

Sie sollten natürlich nur Passwörter über https erhalten, die in Google-App-Engine unterstützt werden (allerdings nur durch Ihre Appspot-Domain )

    
Klaus Byskov Pedersen 14.02.2011 18:36
quelle
0

BCrypt wurde vor einiger Zeit nach Python portiert. Ich benutze es seitdem anmutig.

    
Jose L Ugia 11.09.2014 15:15
quelle