Saya mendapat pertanyaan hari ini dari manajer saya yang menanyakan pemikiran saya tentang apa yang dianggap sebagai desain yang dapat diterima untuk otentikasi aplikasi formulir web, terutama dalam hal sifat dari banyak browser populer untuk "Remember Password" untuk bidang login kata sandi nama pengguna Anda yang khas .
Saya mengalami masalah dengan jawaban yang saya rasa dapat diterima. Mengingat kelemahan keamanan Sony yang memalukan, saya benar-benar ingin berhati-hati, meskipun data yang disimpan pada orang-orang memiliki sensitivitas yang lebih rendah. Kami tidak menyimpan nomor jaminan sosial atau bahkan alamat, tetapi kami menyimpan nomor telepon, alamat email dan foto pengunjung.
Dia khawatir bahwa pengguna dapat dengan mudah mengingat kata sandi pada terminal publik, maka seseorang dapat langsung melompat pada terminal ini dan mulai melihat atau memodifikasi data dengan cara yang tidak sah. Namun saya cukup yakin bahwa setidaknya pada workstation Windows bahwa browser tidak akan "Ingat Kata Sandi" di seluruh akun pengguna Windows.
Di luar ini saya menerapkan enkripsi kata sandi satu arah di sisi server (menyimpan kata sandi terenkripsi dalam database, mengenkripsi kata sandi yang disediakan pengguna di server, dibandingkan dengan string terenkripsi dari database). Tidak ada rencana segera untuk memasukkan enkripsi SSL namun ini masih merupakan opsi.
Apakah ada kelemahan keamanan utama dengan pendekatan ini? Apakah Anda punya saran yang lebih baik?