問題タブ [passwords]

bCryptのjavadocには、パスワードを暗号化する方法に関する次のコードがあります。

プレーンテキストのパスワードが以前にハッシュされたものと一致するかどうかを確認するには、checkpwメソッドを使用します。

これらのコードスニペットは、ランダムに生成されたソルトが破棄されることを意味します。これは事実ですか、それともこれは単なる誤解を招くコードスニペットですか？

Windowsスクリプト内のユーザーから認証資格情報を取得する必要がありますが、従来の「最初のGoogle結果」アプローチ:

満足のいくものではないので、HTML の input type="password"に「相当する」ものがあるのではないかと考えていました。

コメントをお待ちしております。

データベースやユーザー名を使用せずにphpを使用してフォルダーをパスワードで保護するための最良の方法は何ですか。基本的に、組織の連絡先を一覧表示するページがあり、すべてのユーザーのアカウントを持たずにそのフォルダーをパスワードで保護する必要があります。頻繁に変更されてグループに配布されるパスワードは1つだけです。私はそれがあまり安全ではないことを理解していますが、それでも私はこれを行う方法を知りたいと思います。最善の方法で。

ユーザーがパスワードを正しく入力したら、パスワードをしばらく覚えておくと便利です。

私は、Cookieがないことを除いて、DavidHeggieが提案したこととほぼ同じことをしています。それは地獄のように安全ではないように見えますが、パスワード保護が悪い方が良いでしょう。

これは、ログインとパスワードを覚えておくのに時間がかかり、サインアップ プロセスを経ることがない内部サイト用です...本当に簡単でない限り、システムをまったく使用しません。

この問題に対する他の解決策を見たかったのです。

あまり技術に精通していない人々で構成されるユーザーベースで、これを行う他の方法は何ですか。

発見したばかりのWebアプリを継承し、SQLServerデータベースに300,000を超えるユーザー名/パスワードをプレーンテキストで格納しています。これはVeryBadThing™だと思います。

ログインとパスワードの更新プロセスを暗号化/復号化するために更新する必要があり、システムの他の部分への影響を最小限に抑える必要があることを知っているので、データベースからプレーンテキストのパスワードを削除する最良の方法として何をお勧めしますか？

どんな助けでも大歓迎です。

編集：申し訳ありませんが、不明な点がある場合は、特定の暗号化/ハッシュ方法ではなく、パスワードを暗号化/ハッシュする手順を尋ねるつもりでした。

私はただ：

1. DBのバックアップを作成します
2. ログイン/パスワードコードの更新
3. 数時間後、usersテーブルのすべてのレコードを調べて、パスワードをハッシュし、それぞれを置き換えます
4. ユーザーが引き続きパスワードをログイン/更新できることを確認するためのテスト

私の懸念はユーザーの数の多さによるものだと思うので、これを正しく行っていることを確認したいと思います。

現在のユーザー (私の場合、ネットワーク対応サービス ユーザー) が権限を持たないネットワーク共有に接続する場合、名前とパスワードを指定する必要があります。

WNet*Win32 関数 ( のファミリー) でこれを行う方法は知っていますがmpr.dll、.Net (2.0) 機能でそれを行いたいと考えています。

どのようなオプションが利用可能ですか?

もう少し情報が役立つかもしれません：

• ユース ケースは Windows サービスであり、Asp.Net アプリケーションではありません。
• サービスは、共有に対する権限を持たないアカウントで実行されています。
• 共有に必要なユーザー アカウントがクライアント側で認識されていません。
• クライアントとサーバーは同じドメインのメンバーではありません。

NAnt ビルド中にユーザーに入力を促す方法はありますか? パスワードを受け取るコマンドを実行したいのですが、パスワードをビルド スクリプトに入れたくありません。

ユーザーが入力したパスワードを非表示にするクロスプラットフォームのパスワードプロンプトをphpで作成する方法を見つけるのに数時間を費やしました。これは Unix 環境では stty -echo を使用して簡単に実現できますが、passthru() および system() 呼び出しのさまざまな方法を試して、Windows で同じことを実行しても無駄でした。

私が試してみました：

これは passthru('set /p pass=Password: '); でハングしているようです。テキストを入力することを許可せずに行を削除し、Ctrl-c で強制終了する必要があります。

また、fgetc と fgets のさまざまな方法を試し、バックスペース文字を出力して入力を非表示にしました。これは他の言語でも機能するためです。ただし、PHP はキャリッジ リターンの前のテキストとやり取りできないようです。

これを機能させる方法を本当に見つけたいのですが、これは不可能な作業ですか、それともできることですか?

php スクリプトをバッチ ファイルにラップして、パスワードをコマンド ライン引数として渡すことができることは承知していますが、この場合はうまくいきません。

ご存じない方のために説明すると、Lotus Notes は優れたシステムであり、非常に強力なデータベース複製機能と、非常に強力な証明書管理と署名を備えています。

ただし、その強力な証明書の使用自体は、Notes の欠点の 1 つです。

Notes クライアント経由で Lotus Notes にログインする場合、使用するパスワードはどこにも保存されません。ただし、ローカル ワークステーションの Notes ID ファイルに保存されている秘密鍵の暗号化/復号化キーとしてのみ使用されます。

これが意味することは、このファイルの 15 のコピーを 15 の異なるパスワードで持つことができ、一致するパスワードを持っている限り、それぞれが有効であるということです。

ID 管理システムの場合、パスワード変更イベントにアクセスするためのサーバー側コンポーネントがなく、完全にクライアント ベースであり、サーバーはそれが発生したことをほとんど通知できないため、これはかなりの障害となります。

私が聞いた噂によると、Lotus Notes/Domino の今後のリリースでは、この ID ファイル ベースの認証が変更され始めています。

何が、どのように、どのバージョンで変更されているかについて、明確な説明を見つけるのに苦労しています。(8.5? 9? 後?)

この質問の 2 番目の部分は、Active Directory 統合に関して何が起こっているかということです。IDファイル認証の代わりにAD認証が使えるようになるのではないかと噂されています。その点についての私の推測では、サーバーに保存されている ID ファイルは引き続き認証に使用されますが、Active Directory 認証が成功すると、アクセスのロックが解除されますか? それとも他のモデルですか？

すでにこれを理解している誰かの視点を探しています！

余談ですが、Notes の Web メールにアクセスするときに使用される 2 番目のパスワード (httpPassword) があります。これは、もちろん、ユーザーが認証するときにサーバーがローカル ID ファイルにアクセスできないためです。これは、他の形式の認証に移行するモデルであると想定していますが、ご存知のように、それは悪い計画です!

HTML でログイン送信フォームを作成しましたが、何らかの理由でオートコンプリートが Firefox で機能しません。

Firefox では次のようになります。 - ユーザー名とパスワードを入力してログイン ボタンをクリックします。「記憶」を押すと、ログインが機能します。- ログアウトしてログイン ページに戻ります。ユーザー名とパスワードのフィールドが事前に入力されていることを期待しますが、そうではありません。Cookie を使用しない (したくない) ことに注意してください。

このページのコードは次のとおりです。

コードの何が問題になっていますか? 私のコードでオートコンプリートを FF で動作させるにはどうすればよいですか?

オートコンプリートは、たとえば gmail で正しく機能します。gmail のログイン ページにアクセスするたびに、電子メールとパスワードのフィールドが正しく事前入力されています。「このコンピューターで私を記憶する」チェックボックスを使用しないため、Cookie は使用されません。

更新私はphpとFF3を使用しています

ありがとう、ジャスパー

私が現在顧客向けに開発している小さなアプリケーションでは、ユーザーに Windows ログインのユーザー名、パスワード、ドメインを尋ね、System.Diagnostics.Process.Startでそれらを使用してアプリケーションを起動する必要があります。

入力したパスワードをマスクする UseSystemPasswordChar のテキストボックスがあります。

System.Diagnostics.Process.Startにパスワードを入力するにはSystem.Security.SecureStringが必要です。

入力したテキストを1文字ずつではなく安全な文字列に変換するにはどうすればよいですか? または、入力したテキストを SecureString として返すパスワードをユーザーに要求するためのより良いウィンドウ コントロールはありますか?