Cómo "recordar" de manera segura la información de inicio de sesión en un programa [duplicar]

2

Tengo un programa que se comunica con un servidor. El usuario debe iniciar sesión con la aplicación que se ejecuta en su computadora, la aplicación enviará su nombre de usuario y contraseña al servidor (por supuesto, a través de TLS) y el servidor los iniciará.

Quiero ofrecer una función de "recordar mi nombre de usuario / contraseña", para que después de iniciar sesión una vez, ya no tengan que iniciar sesión, como lo hacen Dropbox o los navegadores web o muchos otros programas. ¿Cómo puedo implementar esto de forma segura? Tengo que enviar la contraseña real al servidor, no el hash, por lo que no puedo almacenar un hash, y si lo cifro, entonces tengo el mismo problema con el almacenamiento de la clave.

Perdóneme si este es un duplicado, busqué y no pude encontrar uno.

    
pregunta Spiro Xavier 29.11.2012 - 20:05
fuente

1 respuesta

1

La mejor manera de hacer esto es almacenar un valor de sesión con la aplicación. La idea subyacente se describe en mi respuesta aquí a otra pregunta de autenticación. Eso evita la exposición de las credenciales almacenadas y permite que un usuario invalide las sesiones si pierden el control de la máquina sin arriesgar su contraseña.

    
respondido por el Jeff Ferland 29.11.2012 - 20:53
fuente

Lea otras preguntas en las etiquetas