問題タブ [password-recovery]

現在、セキュリティ監査で Windows パスワード ハッシュを抽出するプロセスを簡素化する作業を行っています。個人的には、監査を行うときに、復元されたユーザーとそのパスワードのリストを生成するプロセスを簡単にしたいと考えています。大量のデータを比較して生成しようとしている他の人にも役立つと思います。

要点は次のとおりです。

Windows システム ファイルからすべてのデータを抽出するときは、単純化して user:hash という形式にします。このハッシュは、「a87f3a357d73085c45f9416be5787e86」などの NTLM ハッシュです。

次に、oclHashcat を使用して、ハッシュのクラックを試みます。それが辞書であろうとブルート フォースであろうと、問題ではありません。復元されたすべてのハッシュの出力を生成しますが、Hashcat は hash:password の形式で生成します。

ここに私の問題と入力が必要なものがあります.2つの入力ファイルを指定して、出力を user:password として生成したいと考えています。何百ものハッシュを持つことができますが、復元されたパスワードは数個しかないことを考えると、リストを並べ替えようとしても意味がありません。

どのデータ構造が最もメリットがあるかわかりません。配列は、大きなテーブルには非効率的すぎました。私はシリアライゼーションを調べ、ハッシュ マップとハッシュ テーブルの使用を調査してきました。ハッシュのサイズを考えると、これらの方法のいずれかを実装する運がなかったか、実装が間違っています。

現在、私は次のようにプログラムを実行しています：

そして、私は効果的にプログラムを次のように実行しようとしています（簡単に）：

各行をトレースし、必要なデータを簡単にトレースできるデータ構造に抽出するための効率的な方法を見つけようとしているだけです。

何か明確にする必要がある場合は、お知らせください。どんな助けでも大歓迎です！

昔、あるエンジニアがネットワークに接続されていない PC に TortoiseSVN リポジトリを作成しました。インストール全体がその PC に対してローカルでした。私の知る限り、他のユーザーがレポにアクセスしたことはありません。エンジニアのパスワードがわかりません。auth ディレクトリが空です - キャッシュされた資格情報はありません。

このレポにアクセスする必要があります。

質問: リポジトリを破棄して、新しいリポジトリを作成し、元のリポジトリに関連付けられていると思われるファイルをインポートする必要がありますか?それとも、古いデータと履歴をすべて保持できるソリューションはありますか?

ありがとう

私が開発しているウェブサイト用の簡単なパスワード回復機能を書いていますが、有効期限について疑問に思っていました。

要点を言えば、送信するパスワードのリセットリンクに約48時間の有効期限を追加したいと思います。現在の時刻を保存するために新しい列を作成し、しばらくしてからそれがまだ有効かどうかを確認する必要がありますか、それとももっと簡単な方法がありますか？

これが私のコードです。

これが私のrandHashコードです：

認証コンポーネントで cakphp2 を使用しています。私の要件は、phpmyadmin ツールを使用して mysql データベースのパスワードを更新することです。パスワードフィールドにcakephp authcomponentが使用するハッシュ技術はどれですか? どうすれば更新できますか? 私はcakephpを初めて使用します。これで私を助けてください。

私の beforesave 関数コード:

パスワードを手動で変更してユーザーにパスワードを送信したいのですが、「オブジェクト参照がオブジェクトのインスタンスに設定されていません」というメッセージが表示されます。エラー。私のタラの何が問題なのですか: ありがとう:

誰かがflask-securityのパスワードリセットトークンで何が起こっているのかを教えてもらえますか？コードはここgithubにあります：

https://github.com/mattupstate/flask-security/blob/develop/flask_security/recoverable.py

（ディレクトリには他の部分があるかもしれません。）

何が起こっているのかについての私の理解：

1. forgot_password（）で定義されたルートで、ユーザーはパスワードをリセットするためのフォームを送信します
2. 「reset_password_token」が生成されます。これは、ユーザーのID +ユーザーの現在の（保存された暗号化された）パスワードのmd5（）で構成されますか？
3. トークンを含むリセットパスワードアドレスへのリンクが生成されます。
4. このリンクは、user.emailによって指定されたアドレスに電子メールで送信されます
5. ユーザーがそのリンクをクリックすると、reset_password（token）であるルート（ビューで定義）に移動します。トークン値は、このルートへの引数です。
6. ルートは、トークンが有効であり、有効期限が切れていないかどうかを評価します。
7. その場合、このルートは、新しいパスワードResetPasswordForm（）を要求するフォームをレンダリングします。

あれは正しいですか？

また：

1. 上記が正しければ、トークンに現在のパスワードの新しいmd5（）を含めるのは安全ですか？逆にするのはユニークで費用がかかるはずですが、それでも？
2. 賞味期限はどこに保存されますか？

私はgenerate_password_reset関数によって最も具体的に混乱しています

data = [str(user.id), md5(user.password)] return _security.reset_serializer.dumps(data)

そしてその

get_token_status(token, 'reset', 'RESET_PASSWORD')内部で機能するreset_password_token_status(token)

Drupal 7 では、「/user/password」に移動してパスワードをリセットする方法があります。メール アドレスを入力すると、パスワードをリセットするための URL が記載されたメールが受信トレイに届きます。

そのページで「ログイン」をクリックする必要があり、プロファイル ページ (「/user」) にリダイレクトされます。この最後のリダイレクトを編集する方法はありますか?

ありがとう！

ユーザーがこのようなパスワード リセットのようなユーザー パスワード リセット リンクを取得した場合

自動的にログインせず、メッセージも表示されず、すぐにログイン画面に移動します。何が起こっているのかをデバッグできるように、これはどこにコーディングされていますか? ありがとうダイアナ

ユーザーが受信した電子メールをクリックできるように、Rails で電子メールの確認とパスワードのリセットを行うためのいくつかのルートが必要です。

Railscast #274 - Remember Me & Reset Passwordを見たところ、その 1 つの Reset アクションに対して別のコントローラーが作成されました。

どちらもUser#email関連しているため、ユーザーコントローラー自体のメンバーまたはコレクションアクションとしては適していないのではないでしょうか?!? 次のようなルート:

/user/reset/:token&/user/confirm/:token または /user/:id/reset/:token&/user/:id/confirm/:token はもっともらしいように見えますが、それらを作成する方法とルートヘルパーがどのように見えるか正確にはわかりません?!?

それとも、両方を 1 つのコントローラーにまとめることができますか? verification/confirm/:token& /verification/reset/:token?

とにかく、試行錯誤を省くためのアイデアを探しています。私が望んでいないのは、2 つの別個のコントローラーです (1 つは電子メールの確認用で、もう 1 つはパスワードのリセット用です)。

現在、Web アプリケーションのユーザーのパスワード回復方法について悩んでいます。

1 つの考えとしては、回復 URL を記載した電子メールを使用して、ユーザーにユーザー名のみを尋ねますが、ユーザー名も忘れた場合は、電子メール アドレスを尋ねます。

もう 1 つのアイデアは、「秘密の質問」を使用して、パスワードをユーザーに送信することです。

パスワード回復のための他の、おそらくより良いオプションを知っていますか? ユーザーのフラストレーション以外に、「間違ったパスワード制限」があることのマイナス面はありますか?

編集: 昨日、一部の古いバージョンでは、まだ更新されており、一部の顧客が使用しているが、電子メール アドレスもユーザー名も一意である必要はないと言われました。

だから私は今完全に立ち往生しています。私の頭に浮かぶ唯一のことは、ユーザーが最初のログイン後に選択できる秘密の質問を使用することです。ただし、電子メールを送信する代わりに、「新しいパスワード ダイアログ」を直接開きます。

他にアイデアはありますか？