問題タブ [passwords]

Sql Server 2005 では、SHA-256 アルゴリズムによってハッシュされたパスワードを格納するためにどのデータ型を使用する必要がありますか?

データはアプリケーションによってハッシュされ、データベースに渡されます

多くの異なるクライアント アプリケーション (Web サービス、いくつかの Java アプリ、およびいくつかのドット ネット アプリケーション) が接続するデータベースがあります。これらのすべてが Windows で実行されているわけではありません (残念ながら、そうでなければ、データベース接続の Windows 認証を有効にするだけで簡単に答えられる質問になります)。現時点では、パスワードはシステムのさまざまな構成/プロパティ ファイルに保存されています。理想的には、ファイルが実行されているサーバーにアクセスできるのはサポート スタッフだけですが、他の誰かがサーバーの 1 つにアクセスできるようになった場合、現状のデータを公正に取得するのに十分なデータベース アクセス許可が付与されます。

私の質問は、何気ない人間の読者がパスワードを簡単に利用できるようにせずに、パスワードを設定可能にしておくための最良の方法は何ですか?

編集明確にするために、DBサーバーはMSSQL 2005を実行しているWindows Server 2003です。

PS: これと重複する質問は見当たりませんが、もしあれば、お気軽にこの質問を閉じてください。

だからここに私がやりたいことがあります：

http://example.com/ * にアクセスするには、特定の URI にアクセスする場合を除いて、ユーザーはユーザー名/パスワードを入力する必要があります (例: http://example.com/contact/、http://example.com /blog/など) 認証する必要はありません。http://example.com (ルート) も開いている必要があります。

いくつかの特別な .htaccess ディレクティブを設定する必要があることはわかっていますが、それを行う方法が正確にはわかりません。どうすればこれを達成できるか知っている人はいますか?

どんな助けでも大歓迎です。ありがとう！

PHP には md5()、sha1()、および hash() 関数があることは知っていますが、MySQL PASSWORD() 関数を使用してハッシュを作成したいと考えています。これまでのところ、私が考えることができる唯一の方法は、サーバーにクエリを実行することですが、MySQL にまったくクエリを実行せずに同じことを行う関数 (できれば php または Perl) が必要です。

例えば：

MySQL ハッシュ -> 464bb2cb3cf18b66

MySQL5 ハッシュ -> *01D01F5CA7CA8BA771E03F4AC55EC73C11EFA229

ありがとう！

bashスクリプトを実行し、ユーザー名とパスワードを提供する必要があるPHPアプリがあります(リモートシステム用)。これらの資格情報を、PHP (Web) アプリからアクセスできる場所に保存する必要があります。論理的な場所はデータベースです (現在は MySQL ですが、不可知論的になります)。資格情報をハッシュして保存する「標準的な」方法の問題は、元に戻せないことです。データをbash スクリプトに挿入できるようにするには、資格情報を暗号化されていないクリア テキストとして取得できる必要があります。

これを行うための安全な方法について何か提案はありますか?

おそらく資格情報を PKI し、結果を DB に保存すると思いました。次に、秘密鍵を使用して暗号化を解除します (PHP で実行できます)。これを行うスクリプトを Web ルートの外に保存します。

どんな考えでも大歓迎です。

エンタープライズ環境で新しい Web アプリをサポートする場合、実際に発生している、または認識されている問題を診断するために、特定のユーザーとしてログインすることが必要になることがよくあります。ここでは、相反する 2 つの問題が適用されます。

1. ベスト プラクティスは、クリア テキストではなく、ハッシュ化または暗号化されたパスワードを使用することです。中間にサードパーティの SSO (シングル サインオン) が存在する場合があります。ユーザーのパスワードを取得する方法はありません。ユーザーが提供しない限り (推奨されません)、そのユーザーとしてログインする方法はありません。

2. 多くの Web アプリには、パーソナライゼーションと複雑な認証があります。異なるユーザーには、異なる権限を持つ異なる役割 (管理者、マネージャー、ユーザー) があります。場合によっては、ユーザーは自分のデータ (顧客またはタスク) しか見ることができません。読み取り専用アクセス権を持つユーザーもいれば、編集できるユーザーもいます。そのため、Web アプリの各ユーザーのビューは一意です。

企業環境では、ユーザーのデスクに行ったり、ユーザーのマシンに直接接続したりすることは現実的ではないと仮定します。

この状況をどのように処理しますか？

編集: 繰り返しますが、大規模な金融機関や、全国および世界中に数十万人の従業員を抱える典型的なフォーチュン 500 企業では、一部の IT 部門の単なる開発者が直接できることは不可能です。ユーザーのマシンにアクセスします。それらの一部は、顧客が使用する公開 Web アプリ (オンライン バンキングや株式取引など) です。また、それらの多くは、Active Directory または SSO に依存するイントラネット アプリケーションです。つまり、多くのアプリケーションでユーザー資格情報が同じであることを意味します。皆さんの提案に感謝します。他の種類の環境で非常に役立つものもあります。

Windowsサービスのユーザー名とパスワードを保存するための最良の方法は何ですか？

サービスは、リモートマシン上のMSSQLServerデータベースにアクセスできる必要があります。NT認証の代わりにMSSQLServer認証（混合モード）をサポートする必要があります。

現在、ユーザーのログイン資格情報がSQLServerDBに保存されているアプリケーションがあります。これらは、基本的に、プレーンテキストのユーザー名、パスワードハッシュ、およびこのハッシュに関連付けられたソルトとして保存されます。

これらはすべて、ASP.NETのメンバーシップ/ロールシステムに組み込まれている関数によって作成されました。'joe'という名前のユーザーと'password'のパスワードの行は次のとおりです。

joe、kDP0Py2QwEdJYtUX9cJABg ==、OJF6H4KdxFLgLu + oTDNFodCEfMA =

このようなものをCSVファイルにダンプし、パスワードを次の形式で保存するDjangoで使用可能な形式にしようとしています。

[algo] $ [salt] $ [hash]

ここで、saltはプレーンな文字列であり、ハッシュはSHA1ハッシュの16進ダイジェストです。

これまでのところ、ASPがこれらのハッシュとソルトをbase64形式で保存していることを確認できました。上記の値は、バイナリ文字列にデコードされます。

リフレクターを使用して、ASPがこれらの値に対してどのように認証するかを収集しました。

基本的に、DBからソルトをプルし、b64はそれをバイナリ表現にデコードします。生のパスワードに対して「GetBytes」を実行し、次にそれらを連結します。最初にソルトします。

次に、この新しい文字列に対してSHA1アルゴリズムを実行し、base64でエンコードして、データベースに保存されている値と比較します。

Pythonでこれらのハッシュを再現するためのコードを作成しようとしましたが、失敗しました。これがどのように変換されるかを理解できるまで、Djangoでそれらを使用することはできません。これが私がテストしている方法です：

誰かが私のアプローチの欠陥を見ることができるか、または別の方法を提案できるかどうか疑問に思っています。おそらく、上記のアルゴリズムと上記の既知のパスワードとソルトを使用して、システムでハッシュを生成できますか？

C#、IIS、ASP.NET、SQL Server を使用しています。

パスワード管理を処理するために、システムに簡単に統合できるサードパーティのプラットフォームはありますか?

ユーザーが気付かないように、100% (OpenID なしで) 統合する必要があります。

パスワードを ssh に自動的に渡す方法はありますか。何らかの方法で ssh に標準入力またはファイルからパスワードを読み取らせることにより、公開鍵認証を使用したり、スクリプトを期待したりせずに、サーバーに自動的に ssh したいと考えています。

そのようにしなければならない理由は、cron ジョブとして実行されている rsync/ssh を使用して、ファイルをサーバーにバックアップしたいからです。このサーバーは、認証後にホーム ディレクトリをマウントするため、ログインが成功するまで ~/.ssh を使用できないため、公開鍵認証を使用しても機能しません。cron ジョブとして実行したいので、expect(1) は問題外です。また、cron ジョブは端末で実行されないため、expect/ssh の組み合わせは機能しません。私はそのサーバーへのルート アクセス権を持っていないため、管理者にそこでの動作方法を変更してもらうのは困難です。