暗号化されたパスワードをweb.configに保存したり、ハッシュおよびソルトされたパスワードをデータベースに保存したりできることは知っていますが、パスワードをキーストアなどに保存することはできますか?
キーストアは、アプリケーションに必要な「サービスアカウント」のパスワードを保存するのに適していますか?
2478 次
1 に答える
4
.NET / Windowsの世界でJavaキーストアに最も近い類似物は、DPAPI(http://en.wikipedia.org/wiki/Data_Protection_API)です。暗号化された値をWindowsレジストリに保存し、暗号化キーはシステムまたはユーザーアカウントレベルのシークレットから取得されます。
それはかなり広く使われていますが、2010年のBlack Hat DC Conferenceで、それに対する亀裂を詳述した論文が発表されました(Google Docs)。
その論文の前に(そしてMSがいつかそれを修正するなら)私はあなたが説明していることを正確にDPAPIに強くお勧めします。
この時点で、DPAPIを使用することがおそらく(そして残念ながら)最良のオプションです。緩和要因は、クラックが非常に技術的で実行が困難であり、実行するにはかなりのOSアクセスが必要になることです。DPAPIキーの侵害は、外部の攻撃者ではなく、システムにアクセスできる信頼できる内部関係者によって行われる可能性が最も高くなります。
于 2011-02-11T00:52:05.237 に答える