Ich frage mich, was auf dem neuesten Stand der Technik ist, Passwörter von einem Webformular zu übertragen und sie im Datenspeicher zu speichern.
Viele der letzten Beiträge verweisen auf bcrypt , aber es gibt kein reines Python Implementierungen, die eine Voraussetzung für App Engine ist.
Irgendwelche Vorschläge?
Beste Praxis? Verwenden Sie die Nutzer-API entweder mit Google-Konten oder mit OpenID, sodass Sie keine Passwörter speichern oder übertragen.
Wenn Sie es selbst tun müssen, übertragen Sie die Login-Daten über SSL, und speichern Sie das Passwort hashed, gesalzen und verstärkt , mit einem Schema wie PBKDF2 .
Sie können PyCrypto verwenden, das auf google-app-engine portiert wurde.
Sie sollten natürlich niemals die eigentlichen Passwörter speichern. Speichern eines Hash sollte ausreichen. Wenn der Benutzer sein Passwort eingibt, hashst du es erneut und vergleichst es mit dem gespeicherten Wert.
Sie sollten natürlich nur Passwörter über https erhalten, die in Google-App-Engine unterstützt werden (allerdings nur durch Ihre Appspot-Domain )
BCrypt wurde vor einiger Zeit nach Python portiert. Ich benutze es seitdem anmutig.
Tags und Links security passwords google-app-engine