問題タブ [password-recovery]

フックを使用してサインアップ ページをカスタマイズしました。

Liferayユーザーが初めてログインしたときにデフォルトのセキュリティの質問が設定されているサインアップページにセキュリティの質問を追加したいと思います。

では、初回ログイン時の代わりにサインアップ ページにセキュリティの質問を追加するにはどうすればよいですか?

この論文と単純な常識を考えると、なぜ後者は前者よりも脆弱なのですか?

つまり、盗聴状況がある場合、2 つのシナリオの違いは次のとおりです。

• プレーンテキスト: ハッカーがパスワードの回復を要求し、パスワードを取得し、アカウントへのアクセス権を取得します
• 回復リンク: ハッカーがパスワードの回復を要求し、リンクを見つけて使用し、アカウントへのアクセスを取得します。

パスワードをプレーンテキストとして保存してはならないことはわかっていますが、この部分を制御できないと仮定しましょう — この場合、違いはありますか?

パスワード リセットの検証プロセスを作成しようとしています。使用したのはエポック タイムの 2 つの値で、ユーザーの古いパスワード (pbkdf2) をキーとして使用したいのですが、

ASCII以外の文字を取得したくないので、SimpleEncodeライブラリを使用しました。これはキーが使用されたBASE64のみであるため高速であるためですが、問題はパスワードが長すぎることです(196文字)ので、長いキーを取得します!

私がやったことは結果を分割することcode = simpleencode.encode(key,asci)[::30]ですが、これは一意ではありません!

それがどのように機能するかを理解するために、Facebookのリセットプロセスを試しましたが、与えられたのは数字です! では、このプロセスがどのように機能するかというと、誰かが誰かのパスワードをリセットするためのリンクを偽造するのを困難にするために鍵を使用していませんか?

更新: アルゴリズムの仕組み:

1-エポッシュを使用して時間を取得するtime.time()

2- (URL に使用する) エポック時間の Base64 とエポック時間値 + キーを生成します。このキーは PBKDF2(パスワード) です。

3- URL www.example.com/reset/user/Base64(time.time()) を生成し、この URL とsimpleencode.encode(key,asci)[::30]

4- ユーザーが URL をクリックすると、生成されたコードが入力されます。この生成されたコードが URL と一致する場合は、パスワードを変更させます。そうでない場合は、URL を忘れてしまいます。

こんにちは、レジストリ値を読み取る前に、Windows がレジストリ値の整合性チェックをどのように実行するのか疑問に思っています。

Windows レジストリでキャッシュされたドメイン資格情報を変更しているときに、これらの値を次のキー HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1 ... NL$10 から取得しました。

NL$KM キー値でデコードし、保存されたパスワード ハッシュをダンプしました。そして、ハッシュを自分の新しく生成されたハッシュに変更したいと思います。しかし、Windowsは少しトリッキーで、検証のために最終的なチェックサム検証を追加しましたが、よくわかりません。したがって、システムがドメインに接続されていないときに、ハッシュを変更し、システムをオフラインで動作させる方法はあります。

これを行うためのコードは次のとおりです。

キャッシュの暗号化または復号化を行う方法は、Windows OS のバージョンによって異なります

}

新しいパスワード ハッシュを生成するには: [FYI: 信頼できる]

古いパスワード ハッシュを新しいパスワード ハッシュに置き換えて、再度暗号化します。

それらをすべてレジストリに書き戻します。

アプリのテスト中に、ユーザーがパスワードを忘れた場合にアプリケーション内にアクセスする機能がないことが確認されました。

これを発見すると、次のようなパスワード生成手法を実装しました。 1. ユーザー情報を使用して特定の文字列を作成します。2. 文字列に SHA1 を適用する 3. SHA1 ハッシュの一部をパスワードとして取得する

上記のアルゴリズムは、サーバー側とデバイス側の両方に適用されます。そのため、相互作用する必要はありません。したがって、ユーザーがパスワードを忘れた場合でも、サーバーにリクエストできます。サーバーは上記のアルゴリズムを実行し、生成されたパスワードをユーザーの電子メールに送信します。デバイス側では、同じアルトを使用して同じパスワードが生成されます。したがって、ユーザーが入力すると一致し、ユーザーにアクセス権が付与されます。

パスワードを生成するために同じ文字列を使用しているため、どういうわけか私はこれに満足していません. そのため、ユーザーがパスワードを忘れて生成するたびに、同じパスワードが取得されますが、これはパスワード ジェネレーターの動作とは異なります。

そのため、変数になる文字列にさらに追加することを考えていましたが、サーバー側とデバイス側の両方で同じになります。オプションの 1 つは文字列で日付を使用することですが、サーバーが異なるタイム ゾーンのデバイスにある場合、サーバーは異なるパスワードを生成します。

これに対するより良い解決策はありますか？提案してください ...

パスワードを紛失したユーザーのトークン/検証コードを生成する必要がありますが、1) 非常に古い Joomla インストール (1.5.15) であり、2) 1 つであるため、既存の Joomla インストールに頼ることはできません。私のプロジェクトの要件の。サードパーティの仕事なので何も触ることはできませんが、モバイル ユーザー (今のところ iOS と Android) 用のパスワード回復システムを実装する必要があり、パスワード回復システムがどのアルゴリズムを使用するかを知る必要があります。

誰がそれがどのように機能するか教えてもらえますか?

ASP.NET メンバーシップ プロバイダーを使用しています。そして、こちらのようにパスワード回復を設定したいと思います。Visual Studio 2012 のデフォルトである IIS Express を使用しています。ただし、ここで回答されているように、IIS Express は SMTP をサポートしていないようです。

では、パスワード回復を設定するためのオプションは何ですか?

7-zip に「confirm pwd」フィールドがなかった時代に、パスワードをタイプミスしてしまいました。これで、pwd で保護された 7-zip ファイルができました。パスワードのタイプミスの可能性が最も高いバリエーション (5500 万個) を生成するソフトウェアを作成し、それらを 25k ごとにファイルに保存しました。今、私はそれらを1つずつ試しています。Macbook で unar コマンドライン ツールを使用すると、1 時間で約 25,000 の pwd を実行できます。

これは機能しますが、5,500 万の pwd をすべて処理するには、まだ 100 日 (24/7) かかります。pwdで保護された7zファイルのデコードをサポートするライブラリ（c＃mono / dotnet）があるかどうか知りたいですか？

私の問題を解決するための他の提案も大歓迎です。