私は企業向けの基幹業務ソフトウェアを作成しています。ユーザーを認証したいので、ワークフローを管理し、監査を行うことができます。基本的に、私の雇用主は、特定のネットワーク制限があるため、Windows認証に便乗することを望んでいません（私は本当にそれに乗りたくありませんが、ネットワーク設定が不十分であり、別の方法があるかどうかを知りたがっている上司が混在しています）それ）

私はc#、wpf、MVVM、PRISMを使用しています

パスワードのハッシュ化、ソルティングなどについて少し読んだことがありますが、読めば読むほど、このプログラムのセキュリティセクションを書くべきではないことに気づきました。

Eric Lippert は、セキュリティについての非常に優れた基本的な紹介をしています。その中で、十分な知識がないため、独自のセキュリティ システムを設計するべきではないことを最初に読者に警告しています。

知りたいのですが、代替手段は何ですか？

私は自分で書くことになっていないので、どこから入手すればよいか知りたいのですが？

セキュリティの専門家を雇って一緒に書いてもらいますか?

接続する必要があるサードパーティのセキュリティ プログラムはありますか?

設計は外注しますが、実装は自分で行いますか?

この業界で注目すべき大物は誰ですか?

(私はここ IT Security Exchange でこの質問を作成しましたが、それがプログラミングであることを見て、SO はそれについて何か言いたいことがあるのだろうかと思いました)

編集

そこで寄せられたいくつかの質問に答えるために、 IT Security Exchange の質問にいくつかの調整を加えました。さらに情報が必要な場合は、チェックしてください。

ある種のセキュリティでパスワードをデータベースに保存しようとしています。Play Frameworkでこれを行う最良の方法は何ですか？文字列をJavaScriptで暗号化しますか？これが最善の方法だとは思いませんでしたか？または、通常の文字列を送信してから、データベースに保存するときに暗号化しますか？

ユーザーからパスワードを隠すためのWindowsまたはWebアプリケーションを作成したい。

実際、私はログインのあるサードパーティのWebサイトを10個持っています。各Webサイトのパスワードをすべてのユーザーから非表示（暗号化）にして、ユーザーがそのパスワードのみをコピーできるようにしたいだけです。

Gmailのウェブサイトを例にとってみましょう。Gmailにアカウントを持っています。他のユーザーにアクセスを許可したい。私は彼に私のユーザー名と暗号化されたパスワードを与えたいです。彼はそのパスワードをコピーして、Gmailのパスワードテキストボックスのパスワードフィールドに貼り付けるだけです。これを自分のウェブサイト全体に適用したいと思います。

これを行う方法はありますか？テキストボックスのpasswordcharプロパティを使用して、Windowsアプリケーションでこれをテストしました。しかし、これをコピーしてWebサイトのパスワードフィールドに貼り付けると、検証できず、エラーが発生します。パスワードは元のエンティティを失ったと思います。どうすればこれを行うことができますか。

重複の可能性:
データベースにパスワードを保存する最良の方法

ユーザーがサイトで作成し、データベース テーブルに保存されるパスワードを保護する方法を知っている人はいますか?

パスワードは現在平文で保存されています。

ありがとう

したがって、データベースからパスワードハッシュを読み取り/検証 (および書き込み) する Web サイトがあり、そのための SHA-512 スタイルのパスワードハッシュを作成するものがあります。

Web サイトは Java ベースなので、SHA-512 ハッシャーを作成しました。問題は、実行される perl cron ジョブが多数あり、データベースに対してパスワード ハッシュを検証する必要があることです。それらは Solaris ボックスで実行されるため、crypt は $6$ 形式をサポートしていません。

だから、私がするとき：

私は賢明に戻ります：

一方、もしそうなら

私は役に立たない

glibc を使用していないボックスで Perl で SHA-512 パスワード ハッシュを取得する方法はありますか? （これは、ほとんどの場合、検索を行うときに言われることです（「暗号を使用」）。

perl で SHA-512 パスワード ハッシュを再実装したくありません。

ありがとう！

私は、ユーザーのパスワードをデータベースに保存しておくシステム（PHPベースですが、これには重要ではありません）に取り組んでいます。ただし、セキュリティの観点から、パスワードを保護する方法と、パスワード転送メカニズムの整合性を確保する方法について考える必要があります。

ソルトでハッシュされたDB内のパスワードを保護することを選択しましたが、ブラウザからサーバーへのパスワードの転送（安全でない接続で機能します）に関して、どのように確認できるかわかりませんそれ。

だから私の質問は、クライアントがパスワードを送信できるようにする安全なメカニズムを知っている人はいますか？それは、クライアントのブラウザのメモリを除いて、パスワードをプレーンテキストにすることなく、DB（ソルトを使用）と比較できますか？

与えられた：

$salt - 疑似ランダムに生成された十分な長さの文字列

$pepper - パスフレーズが保存されているデータベースの管理者のみが知っている、十分に強力な秘密鍵

見えますか

$hash = bcrypt(hmac($userpassphrase,$pepper),$salt)

～より有意義に優れている

$hash = bcrypt($userpassphrase,$salt)

$salt と同様に $pepper を管理/保管するという余分な負担を考えると?

私の仮定では、hmac は結果として得られる $hash を有意に強化せず、$pepper を格納する負担は想定される利点を上回ります...しかし、情報に基づいた意見を聞きたいです。

最近、パスワード ハッシュに関する記事を読みました。

MD5 または SHA1 ハッシュはどのように作成され、復号化できませんか?? 私が思うに、それは特定の FORMULA によって文字列を暗号化しているに違いありません (常に同じ文字列に対して同じハッシュを与えるため、ランダム化は必要ありません)。それとも人々はフォーラムを知らないのですか？

現在 R コードでハードコードされているパスワードを、ディスク上の「暗号化」/エンコードされたファイルに移動しようとしています。

SAS PWENCODE プロシージャと同様の方法で実行したいと思います ( http://support.sas.com/documentation/cdl/en/proc/63079/HTML/default/viewer.htm#n0ii0upf9h4a67n1bcwcesmo4zms.htm、ODBC パスワード セキュリティSASで）。

Rに似たようなものはありますか？パスワードを入力するという形で人間の介入なしに定期的に実行する必要があるコードのパスワードを R に保存するには、どのようなアプローチを使用しますか?

編集:言及するのを忘れました:私に似ているのは RCurl::base64() だけです。

私はログインを必要とするシステムを持っていますが、私がそれを構築している人は、ログイン中のパスワードの送信が非常に安全である必要があります（SSLを使用している場合でも）。そのため、ログイン要求を送信するためにダイジェストアクセス認証のバリアントを使用しています。私が今抱えている唯一の問題は、パスワードをデータベースに（できれば安全なソルトハッシュで）保存して、ダイジェスト要求で使用できるようにする方法です。パスワードは、ハッシュされていない形式ではありません。クライアントは数秒間ブラウザを使用します。

つまり、簡単に言うと、パスワードを安全に保存しながら、ダイジェスト（データベースのソルトとは異なり、常に変化するナンスを使用）で認証できるようにするにはどうすればよいでしょうか。