問題タブ [password-encryption]

perl スクリプトのパスワードを暗号化する方法を探しています。

パスワードは config.xml という XML ファイルに保存されます。

以前、さまざまな perl モジュールを使用してパスワードを暗号化する方法を考え出そうとしました。

しかし、私は同じ問題に遭遇し続け、パスワードを解読しています。

問題は、パスワードが暗号化されると、crypt. または、パスワードを解読する関数を他のスクリプトに含める必要があるという他の問題もあります。したがって、そもそも暗号化を無意味にします。

そこで、perl モジュールの代わりに Linux アプリケーションを使用するとどうなるかを考えるようになりました。

つまり、私の質問はこれに要約されます。

Perl スクリプトで使用できる 2 つのパスワード暗号化を提供する Debian/Ubuntu 用にインストールできるアプリケーションはありますか?

サーバーへの SSH 接続に必要なため、パスワードを復号化する方法が必要です。

ユーザー名とパスワードのフィールドを持つテーブルがあります。ここで、ユーザーが入力した文字列とまったく同じパスワードを保存したくありません。このフィールドを暗号化するか、GUID に変換して、SQL の作業者を含む誰もが見ることができないようにしたいと考えています。ユーザーがパスワードを紛失した場合、新しいパスワードを作成する必要があり、テーブルで更新されます。これを達成する方法はありますか？

jQuery Ajax を使用してユーザーをログインさせています。現在、JS を使用してユーザー名とパスワードのテキスト ボックスから値を取得し、資格情報を確認する aspx ページに送信しています。次に、ユーザーがログインしているかどうかを知らせる JSON を返します。すべて問題なく動作しますが、Firebug を使用しているときに、パスワードがプレーン テキストで送信されていることに気付きました。

パスワードを暗号化する最良の方法は何ですか? （ところで、私はHTTPSサーバーにいません）

5 分ごとに WebServices を使用して外部 API に接続する必要がある ASP.Net C# アプリケーションがあります。

外部 Web サービスの要件は次のとおりです。

• ユーザー名とパスワードが必要です
• 各 Web サービス要求でユーザー名とパスワードを送信する必要があります
• パスワードは 90 日ごとに期限切れになり、有効期限が切れる前に変更する必要があります
• パスワードを手動で (人間が) 変更することはできません。私のアプリケーションは、別のパスワード変更 Web サービスに接続してパスワードを変更する必要があります。
• 私のアプリケーションは、一連のルールに基づいて新しいパスワードをそれぞれ生成する必要があります。
• パスワードを再利用することはできません。
• SSL、証明書、およびファイアウォールの IP 制限が必要です

以前のものはすべて作成しましたが、現在 1 つの問題があります。現在および過去のパスワードを保存するためのベスト プラクティスは何ですか?

明らかに、プレーンテキストのパスワードを保存することは悪い解決策です。Webサービスにパスワードを読み取らせ、リクエストごとに送信できるようにする必要があります。また、新しく生成されたパスワードが重複していないことを確認するために、すべての過去のパスワードにアクセスできる必要があります。

理想的には、各 (暗号化された) パスワードをデータベースに保存し、Web サービスを呼び出す必要があるたびに復号化したいと考えています。私が従うべきベストプラクティスはありますか? Microsoft.Practices.EnterpriseLibrary.Security.Cryptography.Cryptographer.EncryptSymmetric(..) を使用して各パスワードを暗号化する必要がありますか?

注: 残念ながら、外部 API の機能を変更するアクセス権はありません。私は定められた規則に従わなければなりません。

Rijndael を使用して、ユーザーが選択したパスワードを使用してファイル/フォルダーを暗号化および復号化するプログラムを作成しています。現在、ユーザーが何かを暗号化したい場合、パスワードを入力する必要があります。そのパスワードは暗号化に使用され、ユーザーがファイル/フォルダーを復号化する準備ができたら.

ただし、ユーザーがプログラムの「設定」部分で一度だけパスワードを入力できるようにする「マスターパスワード」が必要です。その後、プログラムはすべての暗号化/復号化にそのパスワードを自動的に使用します。これにより、暗号化/復号化するたびにパスワードを入力する必要がなくなります。

さて、このようなプログラムはさまざまな種類の攻撃を受けやすいため、ユーザーの「マスター パスワード」を安全に保存して、誰かがそれを取得できないようにするにはどうすればよいでしょうか? プレーンテキストでプログラムに保存することは明らかに良い考えではないため、私が選択してプログラムに保存した別のパスワードでパスワードを暗号化/復号化できます。

ただし、マスターパスワードを暗号化/復号化するために私が選択したパスワードに誰かがアクセスした場合、マスターパスワードを復号化することができますが、これは良くありません。

それで！プログラムはどのようにしてこれを安全に行うのですか?

現在、「マスターパスワード」を、自分で選択したパスワードを使用して暗号化し、ユーザースコープの設定に保存することで保存しています。これが良い考えではないと思われる場合は、その理由を教えてください。また、私が現在実装しているプロセスについて何を変更しますか?

ありがとうございました！

パスワードとそのハッシュを取得し、使用された暗号化の種類を特定し、パスワードを検証できるライブラリ (または Java に組み込まれていることが望ましい) を探しています。

基本的にhttp://xref.dokuwiki.org/reference/dokuwiki/nav.html?inc/PassHash.class.php.htmlの Java バージョン

正直なところ、私はすでにそのほとんどを変換しましたが、Java でソルトされた md5 パスワードを作成する方法 (hash_smd5 関数を変換する) とソルトを使用した DES 暗号化 (hash_crypt 関数を変換する) を作成する方法がわかりません。

どんな助けでも大歓迎です。

Aes 128 ビットでパケットを復号化した結果がこれです。誰かがこれを見たことがありますか？

[ば@766a24

ありがとう ！

私たちのサーバーには、API を介して外部アカウントにログインする定期的なジョブがいくつかあります。現在、これらのパスワードは (平文で) ハードコーディングされています。それらをデータベースに保存し、パスワードを暗号化したいのですが、外部サイトにログインするにはパスワードを復号化できる必要があります。暗号化/復号化のために別のパスワードを平文で保存せずに、これらのパスワードを安全に保存する方法はありますか? (これはよくある問題のようですが、私はそれを分類するためのセキュリティ用語に精通していません)。ありがとう！

パスワード エンコーディング スキームを使用HMACSHA256.ComputeHashして 1 つのサーバーでパスワード ハッシュを生成し、後で別のサーバーに移行する必要がある場合、ハッシュは同じものをエンコードしますか? 設定が暗号化操作に関係しているのを見た記憶がありmachineKeyますが、完全にはわかりません。

現在、データベースの変更にliquibase mavenプラグインを使用しており、データベースの資格情報は.m2/settings.xmlのプレーンテキスト形式です。

mavens パスワード暗号化を使用して、データベースのパスワードを暗号化したい (現在、パスワードは .m2/settings.xml のプレーン テキスト形式です)。これにより、自分の settings.xml を他の開発者と共有できるようになります。

Maven パスワード暗号化は cargo プラグインでは正常に機能しますが、liquibase プラグインでは機能しません。

この問題を解決する方法を教えてください。