Hallo zusammen,
ich entwickle momentan eine kleine Anwendung die einen Login benötigt. Das funktioniert alles auch soweit ohne probleme. Die Passwörter werden auch "verschlüsselt" in der DB eingetragen.
Nun ist es so, dass der Login momentan nur funktioniert wenn ich username + plain passwort eingebe.
Jetzt habe ich aber auch die Anforderung, dass es möglich sein soll username + passwort aus der DB funktionieren soll.
Einfach aus dem Grund, dass man sich auch einloggen soll wenn man sein plain vergessen hat.
Bedeutet: Der login geht per Plain passwort oder eben mit dem direkten string aus der DB.
Rein von der implementierung nicht das problem, aber macht das auch sicherheitsgründen auch Sinn?
Ich finde diesen Use-Case nämlich personlich nicht wirklich sinnvoll, mir fehlen momentan aber auch die Argumente um etwas dagegen zu sagen,
Wie ist eure Meinung zu dem Thema? Ist es OK solch einen mechanismus zu verwenden oder eher völlig unnütz.
Vielen DAnk im Voraus schonmal.
ich entwickle momentan eine kleine Anwendung die einen Login benötigt. Das funktioniert alles auch soweit ohne probleme. Die Passwörter werden auch "verschlüsselt" in der DB eingetragen.
Nun ist es so, dass der Login momentan nur funktioniert wenn ich username + plain passwort eingebe.
Jetzt habe ich aber auch die Anforderung, dass es möglich sein soll username + passwort aus der DB funktionieren soll.
Einfach aus dem Grund, dass man sich auch einloggen soll wenn man sein plain vergessen hat.
Bedeutet: Der login geht per Plain passwort oder eben mit dem direkten string aus der DB.
Rein von der implementierung nicht das problem, aber macht das auch sicherheitsgründen auch Sinn?
Ich finde diesen Use-Case nämlich personlich nicht wirklich sinnvoll, mir fehlen momentan aber auch die Argumente um etwas dagegen zu sagen,
Wie ist eure Meinung zu dem Thema? Ist es OK solch einen mechanismus zu verwenden oder eher völlig unnütz.
Vielen DAnk im Voraus schonmal.