Jak BEZPIECZNIE wyświetlać hasła na stronie ? Opcje

[Ardziej]

Witam, moje pytanie tak jak w temacie ?
Czy można jakoś "bezpiecznie wyświetlać" hasła na stronie.
Chcę aby klient po zalogowaniu się mógł mieć podgląd swoich haseł, jednak zależy mi na tym aby to było jak najbardziej bezpieczne.
Wiem że jak ktoś jedno złamie może mieć wszystkie, ale zabezpieczę dostęp jeszcze na IP i jakieś pytania dodatkowe ewentualnie
Ale jak mogę "bezpiecznie" je wyświetlić ?

[IceManSpy]

A gdzie chcesz je trzymać? Jak w bazie to na pewno odpowiednie zabezpieczenia bazy przed SQL injection + na stronie jakieś logowanie i sprawdzanie czy użytkownik jest zalogowany poprzez sesje. To są pierwsze rzeczy, jakie przychodzą mi na myśl.

[Zyx]

Wykup certyfikat SSL, zainstaluj go i przesyłaj je poprzez szyfrowane połączenie. To pierwsza i podstawowa rzecz, natomiast druga to dobre i sensowne zabezpieczenia w samym skrypcie przed atakami tak, jak wspomniał kolega. Nic więcej w tym zakresie nie mogę powiedzieć, ponieważ nie znam Twoich umiejętności programistycznych, wiedzy nt bezpieczeństwa i tego, jak sobie radzisz z programowaniem. Nie rozumiem natomiast, dlaczego chcesz użytkownikowi wyświetlać jego hasła? Jeśli są to jakieś hasła do innych podsystemów, to jeszcze OK, ale jeśli to ma być na potrzeby tego samego serwisu, to dobra rada: nie wyświetlaj ich w ogóle, tylko zahaszuj w jedną stronę.

[piotr94]

haseł się nigdy nie wyświetla, a w bazie trzymasz hasze (np. md5, shaX)
a jeśli to konieczne to tylko ssl, bo inaczej wystarczy byle monitor pakietów w danej sieci i haker ma dane

[yevaud]

nie wiem czy to pytanie na serio

gdybym ja mial robic bezpieczne "pokazywanie hasel" to poszedlbym ta droga:
postaw vpn do serwera, klientom daj/generuj certyfikaty z passphrase
w konfiguracji vpn'a ustaw zeby routing do serwera szedl tunelem, zbanuj ip ktore nie naleza do tunelu
hasla trzymaj w oddzielnej dodatkowo zabezpieczonej bazie, w normalnej bazie dalej trzymaj tylko hashe

wtedy bedzie dosc bezpiecznie