问题标签 [password-protection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
excel - 如何判断 Excel 工作簿是否受保护
我可以使用 Excel 工作表的属性来判断工作表是否受保护(Worksheet.Protection、Worksheet.ProtectContents 等)。
如何使用 VBA 判断整个工作簿是否已受到保护?
vba - VBA 密码保护:它是如何工作的?它安全吗?有其他选择吗?
如果想要保护 VBA 应用程序以制作试用(演示)版本而不是公开脚本,那么内置密码保护的安全性如何?有没有其他选择?
编辑:我在这里询问 Excel VBA。
security - Excel VBA 代码的密码保护如何工作?
这个问题与我之前的问题有关。
您能否解释或提供解释 Excel VBA 代码密码保护在 2007 年之前的版本中如何实际工作的链接?Excel 2007 和以前的版本在密码保护方面有什么区别?
Excel的密码保护是否真的加密了代码?如果代码被加密,Excel如何执行代码?
最后,excel密码删除软件是如何工作的?
vba - 从 VBA 项目中删除密码
如何以编程方式从 Excel VBA 项目中删除(已知)密码?
明确一点:我想从 VBA 项目中删除密码,而不是从工作簿或任何工作表中删除。
php - 在没有数据库或用户名的情况下使用 php 密码保护文件夹/页面的最佳方法是什么
使用没有数据库或用户名但使用 php 来密码保护文件夹的最佳方法是什么?基本上我有一个页面,将列出组织的联系人,并且需要密码保护该文件夹,而无需为每个用户提供帐户。只有一个密码会经常更改并分发给群组。我知道这不是很安全,但我更想知道如何做到这一点。以最好的方式。
如果用户正确输入密码后能暂时记住密码,那就太好了。
我大致按照大卫赫吉的建议做,除了没有饼干。它看起来确实不安全,但最好有一个糟糕的密码保护然后根本没有。
这是针对内部站点的,人们会花时间记住他们的登录名和密码,并且永远不会经历注册 过程……除非真的很容易,否则他们根本不会使用该系统。
我想看看这个问题的其他解决方案。
由于用户群由不太懂技术的人组成,还有其他方法可以做到这一点。
sql - 使用 SQL 报告服务的受密码保护的 PDF/Excel 报告
我正在使用 SQL Reporting services 2005 生成报告。当用户将报告导出为 excel 或 pdf 时,我需要使用密码保护报告(pdf 和 excel)。
有什么方法可以保护报告。
php - 通过 PHP 进行 HTTP 身份验证注销
注销 HTTP 身份验证保护文件夹的正确方法是什么?
有一些解决方法可以实现这一点,但它们具有潜在的危险,因为它们可能有问题或在某些情况/浏览器中不起作用。这就是为什么我正在寻找正确和干净的解决方案。
security - 密码哈希的非随机盐
更新:我最近从这个问题中了解到,在下面的整个讨论中,我(我相信其他人也这样做)有点令人困惑:我一直称之为彩虹表的东西实际上被称为哈希表。彩虹表是更复杂的生物,实际上是 Hellman Hash Chains 的一种变体。尽管我相信答案仍然是相同的(因为它不归结为密码分析),但某些讨论可能有点歪曲。
问题:“什么是彩虹表,它们是如何使用的? ”
通常,我总是建议使用加密强度高的随机值作为盐,与散列函数(例如密码)一起使用,例如防止彩虹表攻击。
但是,盐在加密上是否真的有必要是随机的?在这方面是否有任何唯一值(每个用户唯一,例如 userId)就足够了?事实上,它会阻止使用单个彩虹表来破解系统中的所有(或大部分)密码......
但是缺乏熵真的会削弱散列函数的加密强度吗?
注意,我不是在问为什么要使用盐,如何保护它(它不需要),使用单个常量哈希(不要),或者使用什么样的哈希函数。
只是盐是否需要熵。
到目前为止,感谢所有人的回答,但我想专注于我(有点)不太熟悉的领域。主要是对密码分析的影响——如果有人对密码数学 PoV 有一些意见,我将不胜感激。
此外,如果还有其他未考虑的向量,那也是很好的输入(请参阅@Dave Sherohman 关于多个系统的观点)。
除此之外,如果您有任何理论、想法或最佳实践 - 请用证据、攻击场景或经验证据支持这一点。甚至是对可接受的权衡的有效考虑......我熟悉这个主题的最佳实践(资本 B 资本 P),我想证明这实际上提供了什么价值。
编辑:这里有一些非常好的答案,但我认为正如@Dave 所说,它归结为常见用户名的彩虹表......以及可能不太常见的名称。但是,如果我的用户名是全球唯一的怎么办?对于我的系统来说不一定是唯一的,但对于每个用户来说都是独一无二的——例如电子邮件地址。
没有动力为单个用户构建 RT(正如@Dave 强调的那样,盐不是保密的),这仍然会阻止集群。唯一的问题是我可能在不同的站点上拥有相同的电子邮件和密码 - 但无论如何盐不会阻止这种情况。
所以,它回到密码分析——熵是否必要?(我目前的想法是从密码分析的角度来看没有必要,但出于其他实际原因。)
security - 如何不对密码进行硬编码?
在我的最后一个问题“用于存储机密的便携式数据库”中,到目前为止,最好的答案告诉使用 sqlite-crypt。
阅读 sqlite-crypt 文档,打开数据库的新参数是密码。当然,我不想硬编码密码,所以我在想什么是存储密码的最佳、简单和快速的方法?
password-protection - 源代码管理中的密码存储
我们将所有应用程序和数据库密码以纯文本形式存储在源代码控制中。我们这样做是因为我们的构建/部署过程会生成所需的配置文件,并且还会进行需要这些密码的实际部署(即:对数据库运行 sql 需要您使用有效的凭据登录到数据库)。有没有人有类似的需求,您可以在不以纯文本形式存储密码的情况下实现此类功能?