security - 将密码作为脚本参数传递——安全吗？

Question

我的脚本将使用 WMI 连接到远程系统，我正在查看这篇文章，了解如何去做。看来我可能需要传入用户名和密码。

我正在远程系统上使用运行它并解析 STDIN 输出的 Java 程序执行我的脚本。

将密码作为变量传递是否安全？

从 Java 方面来看，密码将位于属性文件中（或不同的方法——我还不确定最好的方法，但它是一个不同的故事），当我调用脚本。

Answer 1

永远不要以明文形式发送密码。始终使用像MD5这样的单向哈希算法来加密用户输入的密码。

此外，永远不要在任何地方将密码保存为纯文本。始终存储散列并将其与用户的散列输入进行比较。

一些从 VBScript 开始的文章：

• 是否有加密存储在 VBS 中的密码的方法
• 加密/散列数据库中的纯文本密码
• http://www.edugeek.net/forums/coding/6951-masking-password-inputbox-vbscript.html
• http://social.technet.microsoft.com/Forums/scriptcenter/en-US/1d132da1-2014-4f34-87f5-d787e764995f/save-encrypted-password-in-vbscript

Answer 2

如果您担心通过网络以纯文本形式发送 WMI 请求的密码：此链接表明，如果您使用 Kerberos 身份验证，则无法在网络上截获密码/用户名。 http://msdn.microsoft.com/en-us/library/windows/desktop/aa393720(v=vs.85).aspx 检查这是否对您有帮助。

如果您担心将密码保存在机器上（您希望将其用于 WMI 请求）：对其进行加密并存储在某个数据库/文件中，在您想要发送时解密它
是的，您应该使用现有的标准加密机制。