問題タブ [passwords]

パスワードを暗号化するための最速でありながら安全な方法は何ですか（PHPでできれば）。どちらの方法を選択しても、移植性はありますか？

つまり、後でWebサイトを別のサーバーに移行した場合、パスワードは引き続き機能しますか？

私が今使用している方法は、言われたように、サーバーにインストールされているライブラリの正確なバージョンによって異なります。

したがって、Web サーバー アプリはデータベースに接続する必要があり、他の一部のアプリには、起動時に実行されるスタートアップ スクリプトがあります。

これらのアプリケーションの名前/パスワードを保存する最良の方法は何ですか?

• セキュリティ。たとえば、システム管理者にデータベースのパスワードを知られたくない場合があります。
• 保守性。たとえば、パスワードが変更されたときに構成を簡単に変更できるようにするなど。

Windows と Linux の両方のソリューションに感謝します。

データベース内のパスワードを保護するための優れた単純な暗号化スキームは何ですか? 超安全なものや電光石火の速さは必ずしも必要ではありませんが、それらは素晴らしいものです。主に、ひどく遅くなったり安全でなかったりすることなく、簡単に実装できるものが欲しいだけです。

政府の医療機関で働く喜びの 1 つは、PHI (保護対象の医療情報) を扱う際のすべてのパラノイアに対処しなければならないことです。誤解しないでいただきたいのですが、私は人々の個人情報 (健康、経済、ネットサーフィンの習慣など) を保護するために可能な限りのことをすることに大賛成ですが、ときどき人々は少し神経質になりすぎてしまいます。

適切な例: 私たちの州の顧客の 1 人が最近、ブラウザーがパスワードを保存する便利な機能を提供していることに気付きました。しばらく前から存在しており、完全にオプションであり、使用するかどうかを決定するのはエンドユーザー次第であることは誰もが知っています. しかし、現時点ではちょっとした騒動があり、私たちのサイトでその機能を無効にする方法を見つけるよう求められています.

質問: サイトがパスワードを記憶しないようにブラウザに指示する方法はありますか? 私は長い間 Web 開発に携わってきましたが、以前に Web 開発に出くわしたことがあるかどうかは知りません。

どんな助けでも大歓迎です。

Twitter をブログのコメント システムと統合するために、basic-auth Twitter API (使用できなくなりました) を使用しています。この Web API や他の多くの Web API の問題は、有用なことを行うためにユーザーのユーザー名とパスワードが必要になることです。SSL 証明書をインストールする手間とコストに対処したくありませんが、ネットワーク上でパスワードがクリア テキストで渡されることも望ましくありません。

私の一般的な質問は次のとおりだと思います:安全でないチャネルを介して機密データを送信するにはどうすればよいですか?

これが私の現在の解決策であり、穴があるかどうかを知りたいです:

1. サーバーでランダムなキーを生成します (私は php を使用しています)。
2. キーをセッションに保存し、キーを javascript 変数に出力します。
3. フォームの送信時に、javascript でトリプル DESとキーを使用してパスワードを暗号化します。
4. サーバーで、セッションのキーを使用してパスワードを復号化し、セッションを破棄します。

最終的には、暗号化されたパスワードのみがネットワーク経由で送信され、キーは 1 回だけ使用され、パスワードと共に送信されることはありません。問題が解決しました？

ユーザーのメールボックスのストレージクォータを照会するために作成していたwinformsアプリに、このようなコードがあります。

どのアプローチを試しても（のように）、 Reflectorを使用するか、実行可能ファイルのProcess Explorerの文字列タブを使用してパスワード（ m_pwdSecureString ）を簡単に確認できます。

このコードをサーバーに配置したり、委任などのメカニズムを使用してセキュリティを強化したり、サービスアカウントに必要な権限のみを付与したりできることはわかっています。

誰かが、ハッカーにパスワードを明かさずに、ローカルアプリケーションにパスワードを保存するための合理的に安全な方法を提案できますか？

（照合目的のハッシュだけでなく）正確なパスワードを知る必要があるため、ハッシュはできません。暗号化/復号化メカニズムはマシンに依存しているため、機能していません。

パスワード認証 (NTLM だと思います) なしでインターネット アクセスを防止する HTTP プロキシを設置した会社で誰かが働いていたとします。また、このパスワードが毎日ローテーションされると仮定すると、セキュリティはほとんど追加されませんが、ほとんどの場合、従業員を悩ませます。これらのローテーション パスワードを自動的に入力する Firefox アドオンを作成するにはどうすればよいでしょうか?

明確にするために: このアドオンはパスワードを送信するだけではありません。アドオンは、パスワードのローテーション スキームに関するある程度の知識を使用して、プログラムでそれを生成します。

私が開発しているWebアプリケーションでは、データベースに接続するときに現在単純なソリューションを使用しています:

これはかなり危険です。攻撃者がソースコードへのアクセスを取得すると、データベース自体へのアクセスも取得します。ソースコードにデータベースパスワードをプレーンテキストで保存せずに、Web アプリケーションをデータベースに接続するにはどうすればよいですか?

私は (.NET 3.5 を使用した C# で) 複数の Windows システムをポーリングしてさまざまなデータを取得する管理アプリケーションを作成しています。多くの場合、WMI を使用しますが、場合によっては、リモート レジストリを読み取ったり、ポーリングされたシステムでコマンドやスクリプトをリモートで実行したりする必要があります。このポーリングは定期的に行われます - 通常は毎晩ですが、より頻繁に (またはより少なく) 行われるように設定できます。したがって、投票は 10 分ごとに行うことも、1 か月に 1 回という頻度で行うこともできます。人間の介入なしに、自動化された方法で行われる必要があります。

これらの機能には、ポーリングされたシステムへの管理者レベルのアクセスが必要です。さて、ほとんどのユースケースではドメインが存在し、ポーリング アプリケーションはドメイン管理者 (または同等の) 権限を持つサービスとして実行できると予想しています。つまり、パスワードの保存について心配する必要はありません。アプリは、標準の Windows メカニズムを介してサービスのユーザー名/パスワードを定義します。

しかし、そこには常に少数の黒い羊がいます。このプログラムは、ドメイン以外の環境で実行される場合や、ポーリングされたシステムがドメインのメンバーではない場合に実行される場合があります。このような場合、ユーザー名とパスワードを定義して安全に保管し、そのシステムをポーリングするときにこのユーザー/パスのペアを呼び出す必要があります。したがって、覚えておいてください - この場合、作成されるプログラムは、認証システムにパスワードを送信するユーザーです。

使用時に平文に復号化する可逆ハッシュを使用する必要があるかどうか、またはハッシュのみを保存して再利用できるWindowsメカニズムがあるかどうかはわかりません。明らかに、2 番目のメカニズムが望ましいです。私は自分のプログラムがパスワードの平文の値を決して知らないか、可能な限り短い時間でそれを知っていることを望んでいます。

これを達成するためのスマートで安全な方法の提案が必要です。

ご覧いただきありがとうございます。

PDF 仕様は Adob​​e から入手できますが、正確に読むのが最も簡単なドキュメントではありません。PDF ではドキュメントを暗号化できるため、ドキュメントでさまざまなこと (表示、印刷など) を行うには、ユーザー パスワードまたは所有者パスワードが必要になります。一般的な用途は、エンド ユーザーがパスワードを入力せずに PDF を読めるように PDF をロックすることですが、それ以外のことを行うにはパスワードが必要です。

この方法でロックされている PDF を解析しようとしています (任意のリーダーで開くのと同じ権限を取得するため)。ユーザーパスワードとして空の文字列を使用しても機能しませんが、(仕様のセクション 3.5.2) 管理者パスワードのハッシュを作成するにはユーザーパスワードが必要なようです。

私が望むのは、これを行う方法の説明、または私が何を意図しているのかを理解できるように、これを行うことができる読み取り可能なコード (理想的には Python、C、または C++ ですが、読み取り可能なものであれば何でも構いません) のいずれかです。している。(たとえば) gsview ソースを読み通すよりも、スタンドアロン コードが最適です。